Bir kurbanın ağına ilk erişimi sağlayan saldırganlar artık erişimlerini genişletmek için başka bir yönteme sahipler: diğer Microsoft Teams kullanıcılarının erişim belirteçlerini kullanarak bu çalışanların kimliğine bürünmek ve onların güvenini kötüye kullanmak.
Bu, 13 Eylül'deki bir danışma belgesinde Microsoft Teams'in kimlik doğrulama belirteçlerini şifrelenmemiş olarak sakladığını ve herhangi bir kullanıcının özel izinlere ihtiyaç duymadan sırlar dosyasına erişmesine izin verdiğini belirten güvenlik firması Vectra'ya göre. Firmaya göre, yerel veya uzak sistem erişimine sahip bir saldırgan, şu anda çevrimiçi olan herhangi bir kullanıcının kimlik bilgilerini çalabilir ve çevrimdışı olsalar bile onların kimliğine bürünebilir ve Skype gibi ilgili herhangi bir özellik aracılığıyla kullanıcıyı taklit edebilir ve çok faktörlü kimlik doğrulamayı atlayabilir. MFA).
San Jose, California merkezli bir siber güvenlik firması olan Vectra'nın güvenlik mimarı Connor Peoples, zayıflığın saldırganlara bir şirketin ağında çok daha kolay hareket etme yeteneği verdiğini söylüyor.
Saldırganların "bir kuruluş içindeki yasal iletişimleri kurcalayabileceğine" dikkat çekerek, "Bu, veri kurcalama, hedefli kimlik avı, kimlik uzlaşması dahil olmak üzere çok sayıda saldırı biçimini mümkün kılar ve erişime uygulanan doğru sosyal mühendislikle iş kesintisine yol açabilir" diyor. seçici olarak yok ederek, dışarı sızarak veya hedefli kimlik avı saldırılarına katılarak.”
Vectra sorunu, şirket araştırmacıları bir müşteri adına Microsoft Teams'i inceleyip etkin olmayan kullanıcıları silmenin yollarını ararken keşfetti; bu, Teams'in genellikle izin vermediği bir eylemdi. Bunun yerine araştırmacılar, erişim belirteçlerini düz metin olarak depolayan ve onlara API'leri aracılığıyla Skype ve Outlook'a bağlanma yeteneği veren bir dosya buldular. Microsoft Teams, yazılımın erişim elde etmek için belirteçler gerektirdiği çeşitli hizmetleri (bu uygulamalar, SharePoint ve diğerleri dahil) bir araya getirdiği için, Vectra danışma belgesinde belirtilen.
Belirteçlerle, bir saldırgan yalnızca şu anda çevrimiçi bir kullanıcı olarak herhangi bir hizmete erişim elde etmekle kalmaz, aynı zamanda MFA'yı da atlayabilir, çünkü geçerli bir belirtecin varlığı tipik olarak kullanıcının ikinci bir faktör sağladığı anlamına gelir.
Sonunda, saldırı, saldırganlara hedeflenen bir şirket için dahili zorluklara neden olacak yeterli erişim sağlamak için özel izinler veya gelişmiş kötü amaçlı yazılımlar gerektirmez.
Şirket, danışma belgesinde "Yeterince tehlikeye atılmış makinelerle, saldırganlar bir kuruluş içindeki iletişimleri yönetebilir" dedi. “Bir şirketin mühendislik başkanı, CEO'su veya CFO'su gibi kritik koltukların tam kontrolünü üstlenen saldırganlar, kullanıcıları kuruluşa zarar veren görevleri gerçekleştirmeye ikna edebilir. Bunun için kimlik avı testini nasıl uyguluyorsunuz?”
Microsoft: Yama Gerekmiyor
Microsoft sorunları kabul etti, ancak saldırganın hedef ağdaki bir sistemi zaten ele geçirmiş olması gerektiği gerçeğinin ortaya çıkan tehdidi azalttığını ve düzeltme eki uygulamamayı tercih ettiğini söyledi.
Dark Reading'e gönderilen bir açıklamada bir Microsoft sözcüsü, "Açıklanan teknik, bir saldırganın önce bir hedef ağa erişim elde etmesini gerektirdiğinden, acil hizmet çıtamızı karşılamıyor" dedi. "Vectra Protect'in bu sorunu belirleme ve sorumlu bir şekilde ifşa etme konusundaki ortaklığını takdir ediyoruz ve gelecekteki bir ürün sürümünde ele almayı değerlendireceğiz."
2019 yılında Açık Web Uygulama Güvenliği Projesi (OWASP) yayınlandı. API güvenlik sorunlarının ilk 10 listesi. Mevcut sorun, listede ikinci ve yedinci sırada yer alan Sorunlu Kullanıcı Kimlik Doğrulaması veya Güvenlik Yanlış Yapılandırması olarak kabul edilebilir.
Bir güvenlik operasyonları ve analitik hizmet sağlayıcısı olan Netenrich'in baş tehdit avcısı John Bambenek, "Bu güvenlik açığını öncelikle yanal hareket için başka bir araç olarak görüyorum - esasen Mimikatz tipi bir araç için başka bir yol" diyor.
Güvenlik zayıflığının varlığının temel bir nedeni, Microsoft Teams'in şirketlerin JavaScript, HTML ve CSS tabanlı yazılımlar oluşturmasına olanak tanıyan Electron uygulama çerçevesini temel almasıdır. Vectra's Peoples, şirketin bu platformdan uzaklaştıkça güvenlik açığını ortadan kaldırabileceğini söylüyor.
"Microsoft, şu anda Electron'un getirdiği endişelerin çoğunu azaltacak olan Aşamalı Web Uygulamalarına geçmek için güçlü bir çaba harcıyor" diyor. "Electron uygulamasını yeniden tasarlamak yerine, tahminimce gelecekteki duruma daha fazla kaynak ayırıyorlar."
Vectra, şirketlere Microsoft Teams'in sorunların kötüye kullanılmasını önlemek için yeterli güvenlik denetimine sahip tarayıcı tabanlı sürümünü kullanmalarını önerir. Vectra, danışma belgesinde, masaüstü uygulamasını kullanması gereken müşterilerin "resmi Teams uygulaması dışındaki herhangi bir işlemle erişim için önemli uygulama dosyalarını izlemesi" gerektiğini belirtti.
