获得对受害者网络初始访问权限的攻击者现在有另一种扩大影响范围的方法:使用来自其他 Microsoft Teams 用户的访问令牌来冒充这些员工并利用他们的信任。
这是根据安全公司 Vectra 的说法,该公司在 13 月 XNUMX 日的一份公告中表示,Microsoft Teams 存储未加密的身份验证令牌,允许任何用户访问机密文件而无需特殊权限。 据该公司称,具有本地或远程系统访问权限的攻击者可以窃取任何当前在线用户的凭据并冒充他们,即使他们处于离线状态,也可以通过任何相关功能(例如 Skype)冒充用户,并绕过多因素身份验证(艺术硕士)。
总部位于加利福尼亚州圣何塞的网络安全公司 Vectra 的安全架构师 Connor Peoples 表示,这一弱点使攻击者能够更轻松地穿越公司的网络。
“这使得多种形式的攻击成为可能,包括数据篡改、鱼叉式网络钓鱼、身份泄露,并可能导致业务中断,如果将正确的社会工程应用于访问,”他说,并指出攻击者可以“篡改组织内的合法通信通过有选择地破坏、泄露或参与有针对性的网络钓鱼攻击。”
Vectra 在公司的研究人员代表客户检查 Microsoft Teams 时发现了这个问题,寻找删除不活跃用户的方法,而 Teams 通常不允许这种操作。 相反,研究人员发现了一个以明文形式存储访问令牌的文件,这使他们能够通过 API 连接到 Skype 和 Outlook。 由于 Microsoft Teams 汇集了各种服务——包括那些应用程序、SharePoint 和其他——该软件需要令牌才能获得访问权限,Vectra 咨询中所述.
有了令牌,攻击者不仅可以作为当前在线用户访问任何服务,还可以绕过 MFA,因为有效令牌的存在通常意味着用户提供了第二个因素。
该咨询称,最终,攻击不需要特殊权限或高级恶意软件即可授予攻击者足够的访问权限,从而给目标公司造成内部困难。
“只要有足够多的受感染机器,攻击者就可以在组织内协调通信,”该公司在公告中表示。 “假设完全控制关键席位——比如公司的工程主管、首席执行官或首席财务官——攻击者可以说服用户执行对组织有害的任务。 您如何为此进行网络钓鱼测试?”
微软:无需补丁
微软承认了这些问题,但表示攻击者需要已经破坏目标网络上的系统这一事实减少了所构成的威胁,并选择不打补丁。
“所描述的技术不符合我们立即提供服务的标准,因为它需要攻击者首先获得对目标网络的访问权限,”微软发言人在发给 Dark Reading 的一份声明中说。 “我们感谢 Vectra Protect 在识别和负责任地披露此问题方面的合作,并将考虑在未来的产品发布中解决。”
2019年,开放Web应用程序安全项目(OWASP)发布 API 安全问题的前 10 名列表. 当前的问题可以被认为是用户身份验证损坏或安全配置错误,这是列表中排名第二和第七的问题。
安全运营和分析服务提供商 Netenrich 的首席威胁猎手 John Bambenek 说:“我认为这个漏洞主要是横向移动的另一种方式——本质上是 Mimikatz 类工具的另一种途径。”
存在安全漏洞的一个关键原因是 Microsoft Teams 基于 Electron 应用程序框架,允许公司创建基于 JavaScript、HTML 和 CSS 的软件。 Vectra 的 Peoples 说,随着公司离开该平台,它将能够消除该漏洞。
“微软正在努力转向渐进式 Web 应用程序,这将减轻目前由 Electron 带来的许多担忧,”他说。 “与其重新构建 Electron 应用程序,我的假设是他们正在将更多资源投入到未来状态。”
Vectra 建议公司使用基于浏览器的 Microsoft Teams 版本,该版本具有足够的安全控制以防止利用这些问题。 Vectra 在咨询中表示,需要使用桌面应用程序的客户应该“注意关键应用程序文件,以了解除官方 Teams 应用程序之外的任何进程的访问”。
