Το σφάλμα Microsoft Teams επιτρέπει την παράδοση κακόβουλου λογισμικού από εξωτερικούς λογαριασμούς

Οι ερευνητές ασφαλείας βρήκαν έναν απλό τρόπο παράδοσης κακόβουλου λογισμικού σε έναν οργανισμό με το

Microsoft

Teams, παρά τους περιορισμούς στην εφαρμογή για αρχεία από εξωτερικές πηγές.

Με

280 εκατομμύρια ενεργοί χρήστες μηνιαίως

Το Microsoft Teams έχει υιοθετηθεί από οργανισμούς ως πλατφόρμα επικοινωνίας και συνεργασίας μέρος των υπηρεσιών που βασίζονται σε

cloud

του Microsoft 365.

Δεδομένης της δημοτικότητας του προϊόντος σε διάφορους οργανισμούς,

Μαξ Κόρμπριτζ

και

Τομ Έλσον

– Τα μέλη της Red Team στην εταιρεία υπηρεσιών ασφαλείας Jumpsec με έδρα το Ηνωμένο Βασίλειο, περιπλανήθηκαν και ανακάλυψαν έναν τρόπο να παρέχουν κακόβουλο λογισμικό χρησιμοποιώντας το Microsoft Teams με λογαριασμό εκτός του οργανισμού-στόχου.

Λεπτομέρειες επίθεσης

Η επίθεση λειτουργεί με το Microsoft Teams που εκτελεί την προεπιλεγμένη διαμόρφωση, η οποία επιτρέπει την επικοινωνία με λογαριασμούς Microsoft Teams εκτός της εταιρείας, που συνήθως αναφέρονται ως “εξωτερικοί μισθωτές”.

Ο Corbridge εξηγεί σε μια αναφορά ότι ενώ αυτή η γέφυρα επικοινωνίας θα ήταν αρκετή για επιθέσεις κοινωνικής μηχανικής και

phishing

, η μέθοδος που βρήκαν είναι πιο ισχυρή καθώς επιτρέπει την αποστολή ενός κακόβουλου ωφέλιμου φορτίου απευθείας στα εισερχόμενα στόχου.

Το Microsoft Teams διαθέτει προστασίες από την πλευρά του πελάτη για τον αποκλεισμό της παράδοσης αρχείων από λογαριασμούς εξωτερικού μισθωτή.

Ωστόσο, τα δύο μέλη της Jumpsec Red Team διαπίστωσαν ότι θα μπορούσαν να παρακάμψουν τον περιορισμό αλλάζοντας το εσωτερικό και εξωτερικό αναγνωριστικό παραλήπτη στο αίτημα POST ενός μηνύματος, ξεγελώντας έτσι το σύστημα ώστε να αντιμετωπίζει έναν εξωτερικό χρήστη ως εσωτερικό.

Οι ερευνητές δοκίμασαν την τεχνική στο πεδίο και μπόρεσαν να παραδώσουν με επιτυχία ένα ωφέλιμο φορτίο εντολής και ελέγχου στα εισερχόμενα των οργανισμών-στόχων, ως μέρος μιας μυστικής εμπλοκής της κόκκινης ομάδας.

Αυτή η επίθεση παρακάμπτει τα υπάρχοντα μέτρα ασφαλείας και τις συμβουλές εκπαίδευσης κατά του phishing, δίνοντας στους εισβολείς έναν αρκετά εύκολο τρόπο να μολύνουν οποιονδήποτε οργανισμό που χρησιμοποιεί το Microsoft Teams με την προεπιλεγμένη διαμόρφωση του.

Επιπλέον, εάν ο εισβολέας καταχωρήσει έναν τομέα παρόμοιο με τους οργανισμούς-στόχους στο Microsoft 365, τα μηνύματά του θα μπορούσαν να φαίνονται σαν να προέρχονται από κάποιον εντός του οργανισμού και όχι από εξωτερικό μισθωτή, αυξάνοντας έτσι την πιθανότητα ο στόχος να κατεβάσει το αρχείο .

Η απάντηση της Microsoft

Οι ερευνητές ανέφεραν τα ευρήματά τους στη Microsoft, υποθέτοντας ότι ο αντίκτυπος ήταν αρκετά σημαντικός για να εγγυηθεί μια άμεση ανταπόκριση από τον τεχνολογικό γίγαντα.

Παρόλο που η Microsoft επιβεβαίωσε την ύπαρξη του ελαττώματος, η απάντηση ήταν ότι “δεν πληροί τα όρια για άμεση εξυπηρέτηση”, πράγμα που σημαίνει ότι η εταιρεία δεν βλέπει επείγουσα ανάγκη να το διορθώσει.

Το BleepingComputer επικοινώνησε επίσης με τη Microsoft για να ρωτήσει πότε σκοπεύουν να επιλύσουν το πρόβλημα και εάν έχει επανεξεταστεί η σοβαρότητά του, αλλά δεν έχουμε λάβει απάντηση μέχρι τη στιγμή της δημοσίευσης.

Η προτεινόμενη ενέργεια για οργανισμούς που χρησιμοποιούν Ομάδες της Microsoft και δεν χρειάζεται να διατηρούν τακτική επικοινωνία με εξωτερικούς ενοικιαστές είναι να απενεργοποιήσουν αυτήν τη δυνατότητα από το “Κέντρο διαχείρισης ομάδων της Microsoft > Εξωτερική πρόσβαση”.

Εάν πρέπει να διατηρηθούν εξωτερικά κανάλια επικοινωνίας, οι οργανισμοί μπορούν να ορίσουν συγκεκριμένους τομείς σε μια λίστα επιτρεπόμενων, για να μειώσουν τον κίνδυνο εκμετάλλευσης.

Οι ερευνητές του Jumpsec επίσης

υπέβαλε αίτημα

για να προσθέσετε συμβάντα που σχετίζονται με εξωτερικούς ενοικιαστές στην καταγραφή του λογισμικού, τα οποία θα μπορούσαν να βοηθήσουν στην αποφυγή επιθέσεων καθώς αυτές εκτυλίσσονται, επομένως υπερψηφίστε το εάν θέλετε να συμβάλετε στο να πιέσετε τη Microsoft να αναλάβει δράση.