Những kẻ tấn công có quyền truy cập ban đầu vào mạng của nạn nhân giờ đây có một phương pháp khác để mở rộng phạm vi tiếp cận: sử dụng mã thông báo truy cập từ những người dùng Microsoft Teams khác để mạo danh những nhân viên đó và khai thác lòng tin của họ.
Đó là theo công ty bảo mật Vectra, công ty đã tuyên bố trong một lời khuyên vào ngày 13 tháng XNUMX rằng Microsoft Teams lưu trữ mã thông báo xác thực không được mã hóa, cho phép bất kỳ người dùng nào truy cập vào tệp bí mật mà không cần quyền đặc biệt. Theo công ty, kẻ tấn công có quyền truy cập hệ thống cục bộ hoặc từ xa có thể đánh cắp thông tin đăng nhập của bất kỳ người dùng hiện đang trực tuyến nào và mạo danh họ, ngay cả khi họ ngoại tuyến và mạo danh người dùng thông qua bất kỳ tính năng liên quan nào, chẳng hạn như Skype và bỏ qua xác thực đa yếu tố ( MFA).
Connor Peoples, kiến trúc sư bảo mật tại Vectra, một công ty an ninh mạng có trụ sở tại San Jose, California, cho biết điểm yếu này giúp kẻ tấn công có khả năng di chuyển qua mạng của công ty dễ dàng hơn nhiều.
Ông nói: “Điều này cho phép nhiều hình thức tấn công bao gồm giả mạo dữ liệu, lừa đảo trực tuyến, xâm phạm danh tính và có thể dẫn đến gián đoạn hoạt động kinh doanh khi áp dụng kỹ thuật xã hội phù hợp cho quyền truy cập”. bằng cách phá hủy có chọn lọc, lấy cắp hoặc tham gia vào các cuộc tấn công lừa đảo có chủ đích.”
Vectra phát hiện ra vấn đề khi các nhà nghiên cứu của công ty thay mặt khách hàng kiểm tra Microsoft Teams, tìm cách xóa những người dùng không hoạt động, một hành động mà Teams thường không cho phép. Thay vào đó, các nhà nghiên cứu phát hiện ra rằng một tệp lưu trữ mã thông báo truy cập ở dạng văn bản rõ ràng, giúp họ có khả năng kết nối với Skype và Outlook thông qua API của họ. Vì Microsoft Teams tập hợp nhiều dịch vụ khác nhau — bao gồm các ứng dụng đó, SharePoint và các dịch vụ khác — nên phần mềm yêu cầu mã thông báo để có quyền truy cập, Vectra đã nêu trong lời khuyên.
Với mã thông báo, kẻ tấn công không chỉ có thể truy cập vào bất kỳ dịch vụ nào với tư cách là người dùng hiện đang trực tuyến mà còn có thể vượt qua MFA vì sự tồn tại của mã thông báo hợp lệ thường có nghĩa là người dùng đã cung cấp yếu tố thứ hai.
Cuối cùng, cuộc tấn công không yêu cầu quyền đặc biệt hoặc phần mềm độc hại nâng cao để cấp cho kẻ tấn công đủ quyền truy cập nhằm gây khó khăn nội bộ cho công ty mục tiêu, lời khuyên cho biết.
Công ty cho biết trong lời khuyên: “Với đủ số lượng máy bị xâm nhập, kẻ tấn công có thể điều phối thông tin liên lạc trong một tổ chức”. “Giả sử có toàn quyền kiểm soát các vị trí quan trọng – như trưởng bộ phận kỹ thuật, CEO hoặc CFO của công ty – những kẻ tấn công có thể thuyết phục người dùng thực hiện các nhiệm vụ gây tổn hại cho tổ chức. Bạn thực hành kiểm tra lừa đảo cho việc này như thế nào?”
Microsoft: Không cần bản vá
Microsoft thừa nhận vấn đề nhưng cho biết việc kẻ tấn công cần phải xâm phạm hệ thống trên mạng mục tiêu đã làm giảm mối đe dọa gây ra và đã chọn không vá lỗi.
Người phát ngôn của Microsoft cho biết trong một tuyên bố gửi tới Dark Reading: “Kỹ thuật được mô tả không đáp ứng yêu cầu của chúng tôi về khả năng phục vụ ngay lập tức vì nó yêu cầu kẻ tấn công trước tiên phải có quyền truy cập vào mạng mục tiêu”. “Chúng tôi đánh giá cao sự hợp tác của Vectra Protect trong việc xác định và tiết lộ vấn đề này một cách có trách nhiệm và sẽ xem xét giải quyết trong lần phát hành sản phẩm trong tương lai.”
Năm 2019, Dự án bảo mật ứng dụng web mở (OWASP) đã phát hành danh sách 10 vấn đề bảo mật API hàng đầu. Vấn đề hiện tại có thể được coi là Xác thực người dùng bị hỏng hoặc Cấu hình sai bảo mật, vấn đề được xếp hạng thứ hai và thứ bảy trong danh sách.
John Bambenek, chuyên gia săn lùng mối đe dọa chính tại Netenrich, một nhà cung cấp dịch vụ phân tích và hoạt động bảo mật, cho biết: “Tôi coi lỗ hổng này chủ yếu là một phương tiện khác để di chuyển theo chiều ngang — về cơ bản là một con đường khác cho công cụ kiểu Mimikatz”.
Lý do chính cho sự tồn tại của điểm yếu bảo mật là Microsoft Teams dựa trên khung ứng dụng Electron, cho phép các công ty tạo phần mềm dựa trên JavaScript, HTML và CSS. Vectra's Peoples cho biết, khi công ty rời khỏi nền tảng đó, công ty sẽ có thể loại bỏ lỗ hổng bảo mật.
Ông nói: “Microsoft đang nỗ lực mạnh mẽ để hướng tới Ứng dụng web tiến bộ, điều này sẽ giảm thiểu nhiều mối lo ngại mà Electron hiện đang mang lại”. “Thay vì tái cấu trúc ứng dụng Electron, tôi cho rằng họ đang dành nhiều tài nguyên hơn cho trạng thái tương lai.”
Vectra khuyến nghị các công ty nên sử dụng phiên bản Microsoft Teams dựa trên trình duyệt, phiên bản này có đủ các biện pháp kiểm soát bảo mật để ngăn chặn việc khai thác các vấn đề. Vectra nêu trong lời khuyên: Những khách hàng cần sử dụng ứng dụng dành cho máy tính để bàn nên “xem các tệp ứng dụng chính để truy cập bằng bất kỳ quy trình nào khác ngoài ứng dụng Teams chính thức”.
