Інструмент Microsoft Teams Exploit автоматично доставляє зловмисне програмне забезпечення

На GitHub доступний новий інструмент, який дає зловмисникам можливість використовувати нещодавно виявлену вразливість у Microsoft Teams і автоматично доставляти шкідливі файли цільовим користувачам Teams в організації.

Інструмент під назвою «TeamsPhisher» працює в середовищах, де організація дозволяє спілкуватися між своїми внутрішніми користувачами Teams і зовнішніми користувачами Teams — або орендарями. Це дозволяє зловмисникам доставляти корисні дані безпосередньо в папку «Вхідні» жертви не покладаючись на традиційний фішинг або соціальну інженерію шахрайства, щоб отримати його там.

«Надайте TeamsPhisher вкладення, повідомлення та список цільових користувачів Teams», — сказав розробник інструменту Алекс Рейд, член Red Team ВМС США, в описі інструменту на GitHub. «Він завантажить вкладення в Sharepoint відправника, а потім перегляне список цілей».

Повністю автоматизовані потоки кібератак

TeamsPhisher містить техніку, яку нещодавно розкрили два дослідники з JUMPSEC Labs для обходу функції безпеки в Microsoft Teams. Хоча програма для співпраці дозволяє спілкуватися між користувачами Teams з різних організацій, вона блокує обмін файлами між ними.

Дослідники JUMPSEC Макс Корбрідж і Том Еллсон знайшли відносно легкий спосіб щоб обійти це обмеження, використовуючи метод, відомий як незахищене пряме посилання на об’єкт (IDOR). Як постачальник безпеки Вароніс зазначив у нещодавній публікації в блозі, «Помилки IDOR дозволяють зловмиснику зловмисно взаємодіяти з веб-програмою, маніпулюючи «прямим посиланням на об’єкт», таким як ключ бази даних, параметр запиту або ім’я файлу».

Корбрідж і Еллсон виявили, що вони можуть використати проблему IDOR у Teams, просто змінивши ідентифікатор внутрішнього та зовнішнього одержувача під час надсилання запиту POST. Двоє дослідників виявили, що коли корисне навантаження надсилається таким чином, воно розміщується в домені відправника SharePoint і надходить до папки «Вхідні» команди жертви. Корбрідж і Еллсон визначили, що вразливість впливає на кожну організацію, яка використовує Teams у конфігурації за замовчуванням, і описали її як те, що зловмисник може використати для обходу механізмів захисту від фішингу та інших засобів контролю безпеки. Microsoft визнала проблему, але оцінила її як щось, що не заслуговує негайного вирішення.

TeamsPhisher містить методи множинних атак

Рейд описав, що його інструмент TeamsPhisher містить методи JUMPSEC, а також деякі попередні дослідження незалежних дослідників щодо того, як використовувати Microsoft Teams для початкового доступу. Андреа Сантезе. Він також включає в себе техніки TeamsEnum, інструмент для перерахування користувачів Teams, який дослідник із Secure Systems Engineering GmbH раніше випустив на GitHub.

За словами Рейда, спосіб роботи TeamsPhisher полягає в тому, щоб спочатку перерахувати цільового користувача Teams і перевірити, чи може він отримувати зовнішні повідомлення. Потім TeamsPhisher створює новий потік із цільовим користувачем. Він використовує техніку, яка дозволяє повідомленням надходити в папку «Вхідні» без звичайної заставки «Хтось за межами вашої організації надіслав вам повідомлення, ви впевнені, що хочете його переглянути», — сказав Рейд. 

«З новим потоком, створеним між нашим відправником і метою, вказане повідомлення буде надіслано користувачеві разом із посиланням на вкладення в Sharepoint», — зазначив він. «Після того, як це початкове повідомлення буде надіслано, створений потік буде видно в графічному інтерфейсі Teams відправника, і за потреби з ним можна буде взаємодіяти вручну в кожному окремому випадку».

Microsoft не відразу відповіла на запит Dark Reading із проханням прокоментувати, чи міг випуск TeamsPhisher змінити її позицію щодо усунення помилки, яку виявив JUMPSEC. Сама JUMPSEC закликала організації, які використовують Microsoft Teams, перевірити, чи є будь-яка бізнес-потреба для забезпечення зв’язку між внутрішніми користувачами Teams і зовнішніми клієнтами. 

«Якщо ви зараз не використовуєте Teams для регулярного спілкування із зовнішніми орендарями, посиліть контроль безпеки та взагалі видаліть цю опцію», — порадила компанія.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware