Công cụ khai thác Microsoft Teams tự động phát tán phần mềm độc hại

Một công cụ mới có sẵn trên GitHub cung cấp cho kẻ tấn công cách tận dụng lỗ hổng được tiết lộ gần đây trong Microsoft Teams và tự động gửi các tệp độc hại đến người dùng Teams được nhắm mục tiêu trong một tổ chức.

Công cụ này có tên là “TeamsPhisher”, hoạt động trong môi trường mà tổ chức cho phép liên lạc giữa người dùng Teams nội bộ và người dùng Teams bên ngoài — hoặc đối tượng thuê. Nó cho phép kẻ tấn công gửi tải trọng trực tiếp vào hộp thư đến của nạn nhân mà không cần dựa vào lừa đảo truyền thống hoặc kỹ thuật xã hội lừa đảo để có được nó ở đó.

“Cung cấp cho TeamsPhisher một tệp đính kèm, một tin nhắn và danh sách những người dùng Teams mục tiêu,” nhà phát triển công cụ Alex Reid, thành viên Đội Đỏ của Hải quân Hoa Kỳ, cho biết trong phần mô tả về công cụ trên GitHub. “Nó sẽ tải tệp đính kèm lên Sharepoint của người gửi và sau đó duyệt qua danh sách các mục tiêu.”

Các luồng tấn công mạng hoàn toàn tự động

ĐộiPhisher kết hợp một kỹ thuật mà hai nhà nghiên cứu tại JUMPSEC Labs đã tiết lộ gần đây để khắc phục tính năng bảo mật trong Microsoft Teams. Mặc dù ứng dụng cộng tác cho phép liên lạc giữa những người dùng Teams từ các tổ chức khác nhau nhưng nó chặn việc chia sẻ tệp giữa họ.

Các nhà nghiên cứu của JUMPSEC Max Corbridge và Tom Ellson tìm thấy một cách tương đối dễ dàng để vượt qua hạn chế này bằng cách sử dụng kỹ thuật được gọi là kỹ thuật Tham chiếu đối tượng trực tiếp không an toàn (IDOR). Là nhà cung cấp bảo mật Varonis lưu ý trong một bài viết blog gần đây, “Lỗi IDOR cho phép kẻ tấn công tương tác độc hại với ứng dụng Web bằng cách thao túng 'tham chiếu đối tượng trực tiếp' chẳng hạn như khóa cơ sở dữ liệu, tham số truy vấn hoặc tên tệp."

Corbridge và Ellson nhận thấy họ có thể khai thác sự cố IDOR trong Teams chỉ bằng cách chuyển đổi ID của người nhận nội bộ và bên ngoài khi gửi yêu cầu POST. Hai nhà nghiên cứu phát hiện ra rằng khi một tải trọng được gửi theo cách này, tải trọng đó sẽ được lưu trữ trên miền SharePoint của người gửi và đến hộp thư đến của Nhóm nạn nhân. Corbridge và Ellson đã xác định lỗ hổng này ảnh hưởng đến mọi tổ chức chạy Teams ở cấu hình mặc định và mô tả nó là thứ mà kẻ tấn công có thể sử dụng để vượt qua các cơ chế chống lừa đảo và các biện pháp kiểm soát bảo mật khác. Microsoft thừa nhận vấn đề này nhưng đánh giá đây là vấn đề không đáng được khắc phục ngay lập tức.

TeamsPhsher kết hợp nhiều kỹ thuật tấn công

Reid mô tả công cụ TeamsPhisher của mình là sự kết hợp các kỹ thuật của JUMPSEC cũng như một số nghiên cứu trước đó về cách tận dụng Microsoft Teams để nhà nghiên cứu độc lập có quyền truy cập ban đầu Andrea Santese. Nó cũng kết hợp các kỹ thuật ĐộiEnum, một công cụ để liệt kê người dùng Teams, mà một nhà nghiên cứu từ Secure Systems Engineering GmbH trước đây đã phát hành cho GitHub.

Theo Reid, cách TeamsPhisher hoạt động trước tiên là liệt kê người dùng Teams mục tiêu và xác minh rằng người dùng đó có thể nhận được tin nhắn bên ngoài. Sau đó TeamsPhisher sẽ tạo một chuỗi mới với người dùng mục tiêu. Reid cho biết, nó sử dụng một kỹ thuật cho phép thư đến hộp thư đến của mục tiêu mà không cần màn hình giật gân “Ai đó bên ngoài tổ chức của bạn đã nhắn tin cho bạn, bạn có chắc chắn muốn xem nó không?”. 

Ông lưu ý: “Với chuỗi mới được tạo giữa người gửi của chúng tôi và mục tiêu, tin nhắn được chỉ định sẽ được gửi đến người dùng cùng với liên kết đến tệp đính kèm trong Sharepoint”. “Sau khi tin nhắn ban đầu này được gửi, chuỗi đã tạo sẽ hiển thị trong GUI Teams của người gửi và có thể được tương tác theo cách thủ công, nếu cần, tùy từng trường hợp.”

Microsoft đã không trả lời ngay lập tức yêu cầu Dark Reading tìm kiếm bình luận về việc liệu việc phát hành TeamsPhisher có thể đã thay đổi lập trường của họ trong việc khắc phục lỗi mà JUMPSEC tìm thấy hay không. Bản thân JUMPSEC đã kêu gọi các tổ chức sử dụng Microsoft Teams xem xét liệu có bất kỳ nhu cầu kinh doanh nào về việc cho phép liên lạc giữa người dùng Teams nội bộ và người thuê bên ngoài hay không. 

Công ty đã đưa ra lời khuyên: “Nếu bạn hiện không sử dụng Teams để liên lạc thường xuyên với những người thuê bên ngoài, hãy thắt chặt các biện pháp kiểm soát bảo mật của bạn và loại bỏ hoàn toàn tùy chọn này”.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware