Зловмисники, які отримують початковий доступ до мережі жертви, тепер мають інший спосіб розширення свого охоплення: використання маркерів доступу від інших користувачів Microsoft Teams, щоб видати себе за цих співробітників і використовувати їх довіру.
Це згідно з охоронною фірмою Vectra, яка заявила в повідомленні від 13 вересня, що Microsoft Teams зберігає маркери автентифікації в незашифрованому вигляді, дозволяючи будь-якому користувачеві отримати доступ до секретного файлу без спеціальних дозволів. За даними фірми, зловмисник із локальним або віддаленим доступом до системи може викрасти облікові дані для будь-яких онлайн-користувачів і видати себе за них, навіть коли вони офлайн, і видати себе за користувача через будь-яку пов’язану функцію, таку як Skype, і обійти багатофакторну автентифікацію ( МЗС).
Слабкість дає зловмисникам можливість набагато легше пересуватися мережею компанії, каже Коннор Піплз, архітектор із безпеки в Vectra, фірмі з кібербезпеки в Сан-Хосе, Каліфорнія.
«Це дає змогу здійснювати різноманітні форми атак, включаючи підробку даних, фішинг, компрометацію особистих даних, і може призвести до перерви в роботі за умови правильної соціальної інженерії, застосованої до доступу», — каже він, зазначивши, що зловмисники можуть «підробити законні комунікації всередині організації». шляхом вибіркового знищення, ексфільтрації або участі в цілеспрямованих фішингових атаках».
Vectra виявила проблему, коли дослідники компанії досліджували Microsoft Teams від імені клієнта, шукаючи способи видалення неактивних користувачів — дії, яку Teams зазвичай не дозволяє. Натомість дослідники виявили файл, який зберігає токени доступу у відкритому вигляді, що давало їм можливість підключатися до Skype і Outlook через їхні API. Оскільки Microsoft Teams об’єднує різноманітні служби, включаючи програми, SharePoint та інші, для доступу до яких програмне забезпечення потребує маркерів, Vectra зазначено в повідомленні.
За допомогою маркерів зловмисник може не лише отримати доступ до будь-якої служби як поточний онлайн-користувач, але й обійти MFA, оскільки наявність дійсного маркера зазвичай означає, що користувач надав другий фактор.
Зрештою, атака не потребує спеціальних дозволів або вдосконаленого шкідливого програмного забезпечення, щоб надати зловмисникам достатній доступ, щоб спричинити внутрішні труднощі для цільової компанії, зазначено в повідомленні.
«З достатньою кількістю скомпрометованих машин зловмисники можуть організовувати комунікації всередині організації», — йдеться в повідомленні компанії. «Припускаючи повний контроль над критично важливими робочими місцями — наприклад, керівником інженерного відділу компанії, генеральним директором або фінансовим директором — зловмисники можуть переконати користувачів виконувати завдання, які завдають шкоди організації. Як ви практикуєте фіш-тестування для цього?»
Microsoft: виправлення не потрібні
Microsoft визнала наявність проблем, але заявила, що той факт, що зловмисник повинен уже зламати систему в цільовій мережі, зменшив загрозу, і вирішила не виправляти.
«Описана техніка не відповідає нашим вимогам щодо негайного обслуговування, оскільки вона вимагає, щоб зловмисник спочатку отримав доступ до цільової мережі», — сказав представник Microsoft у заяві, надісланій Dark Reading. «Ми цінуємо партнерство Vectra Protect у виявленні та відповідальному розкритті цієї проблеми та розглянемо її вирішення в майбутньому випуску продукту».
У 2019 році випущено Open Web Application Security Project (OWASP). топ-10 проблем безпеки API. Поточну проблему можна вважати або порушенням автентифікації користувача, або неправильною конфігурацією безпеки, другою та сьомою проблемами в списку.
«Я розглядаю цю вразливість як ще один засіб для бокового переміщення — по суті, ще один шлях для інструменту типу Мімікаца», — каже Джон Бамбенек, головний пошук загроз у Netenrich, постачальнику послуг безпеки та аналітики.
Ключовою причиною існування недоліків безпеки є те, що Microsoft Teams базується на інфраструктурі додатків Electron, яка дозволяє компаніям створювати програмне забезпечення на основі JavaScript, HTML і CSS. Коли компанія відходить від цієї платформи, вона зможе усунути вразливість, кажуть у Vectra’s Peoples.
«Microsoft докладає значних зусиль, щоб перейти до прогресивних веб-додатків, які б пом’якшили багато проблем, які зараз викликає Electron», — говорить він. «Замість того, щоб переробляти програму Electron, я припускаю, що вони виділяють більше ресурсів на майбутній стан».
Vectra рекомендує компаніям використовувати браузерну версію Microsoft Teams, яка має достатню кількість елементів керування безпекою, щоб запобігти використанню проблем. Клієнти, яким потрібно використовувати настільну програму, повинні «спостерігати за доступом до ключових файлів програми для будь-яких процесів, окрім офіційної програми Teams», — йдеться у повідомленні Vectra.
