Microsoft Teams 利用工具自动传送恶意软件

GitHub 上提供了一种新工具，使攻击者能够利用 Microsoft Teams 最近披露的漏洞，自动向组织中的目标 Teams 用户传送恶意文件。

该工具被称为“TeamsPhisher”，适用于组织允许其内部 Teams 用户和外部 Teams 用户（或租户）之间进行通信的环境。 它允许攻击者将有效负载直接传递到受害者的收件箱中 不依赖传统的网络钓鱼或社会工程 骗局把它送到那里。

“为 TeamsPhisher 提供一个附件、一条消息和目标 Teams 用户列表，”该工具的开发人员、美国海军红队成员 Alex Reid 在 GitHub 上对该工具的描述中说道。 “它会将附件上传到发件人的 Sharepoint，然后遍历目标列表。”

全自动网络攻击流程

团队Phisher 结合了 JUMPSEC 实验室的两名研究人员最近披露的一项技术，用于绕过 Microsoft Teams 中的安全功能。 虽然协作应用程序允许来自不同组织的 Teams 用户之间进行通信，但它会阻止他们之间的文件共享。

JUMPSEC 研究人员 Max Corbridge 和 Tom Ellson 找到了一个相对简单的方法 要绕过此限制，请使用所谓的不安全直接对象引用 (IDOR) 技术。 作为安全供应商 瓦罗尼斯在最近的一篇博客文章中指出，“IDOR 错误允许攻击者通过操纵数据库密钥、查询参数或文件名等‘直接对象引用’来恶意与 Web 应用程序交互。”

Corbridge 和 Ellson 发现，他们只需在提交 POST 请求时切换内部和外部收件人的 ID 即可利用 Teams 中的 IDOR 问题。 两位研究人员发现，当以这种方式发送有效负载时，有效负载将托管在发件人的 SharePoint 域上，并到达受害者团队的收件箱。 Corbridge 和 Ellson 确定该漏洞影响以默认配置运行 Teams 的每个组织，并将其描述为攻击者可用来绕过反网络钓鱼机制和其他安全控制的东西。 微软承认了这个问题，但认为它不值得立即修复。

TeamsPhisher 融合多种攻击技术

Reid 将他的 TeamsPhisher 工具描述为融合了 JUMPSEC 的技术以及一些关于如何利用 Microsoft Teams 进行独立研究人员初始访问的早期研究 安德里亚·桑特塞。 它还融合了以下技术 团队枚举是一款用于枚举 Teams 用户的工具，Secure Systems Engineering GmbH 的研究人员此前已将其发布到 GitHub。

根据 Reid 的说法，TeamsPhisher 的工作方式是首先枚举目标 Teams 用户并验证该用户是否可以接收外部消息。 然后，TeamsPhisher 会与目标用户创建一个新线程。 里德说，它使用了一种技术，允许消息到达目标的收件箱，而不会出现通常的“组织外部的人向您发送消息，您确定要查看它吗”启动屏幕。 

“随着我们的发件人和目标之间创建的新线程，指定的消息将连同 Sharepoint 中附件的链接一起发送给用户，”他指出。 “发送初始消息后，创建的线程将在发送者的 Teams GUI 中可见，并且可以根据具体情况手动进行交互（如果需要）。”

微软没有立即回应 Dark Reading 的请求，该请求寻求对 TeamsPhisher 的发布是否可能改变其修复 JUMPSEC 发现的错误的立场发表评论。 JUMPSEC 本身已敦促使用 Microsoft Teams 的组织审查是否存在支持内部 Teams 用户和外部租户之间通信的业务需求。 

该公司建议：“如果您目前不使用 Teams 与外部租户进行定期沟通，请加强安全控制并完全删除该选项。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/perimeter/microsoft-teams-exploit-toll-autodeliver-malware