В конце июня мы рассказывали про уязвимость, раскрытую исследо | SecAtor

В конце июня мы рассказывали про уязвимость, раскрытую исследователями из Jumpsec, которая позволяет доставлять вредоносное ПО через Microsoft Teams с учетной записью за пределами целевой организации, несмотря на ограничения в приложении для файлов из внешних источников.

Тогда, Microsoft, подтвердив наличие уязвимости, посчитала ее не заслуживающей срочного исправления, а зря.

На неделе один из участников Red Team из ВМС США разработал и представил инструмент на основе Python под названием TeamsPhisher, который использует эту проблему безопасности в Microsoft Teams для реализации автоматизированных атак на практике.

Он объединяет идею атаки Jumpsec, методы, разработанные Андреа Сантезе, а также аутентификацию и вспомогательные функции из инструмента TeamsEnum Бастиана Канбаха.

Работает утилита следующим образом: отправляется вложение, сообщение и список целевых пользователей Teams, после чего вложение загрузится в Sharepoint отправителя, а затем переберется список целей.

При этом TeamsPhisher сначала проверяет существование целевого пользователя и его способность получать внешние сообщения, что является необходимым условием для проведения атаки.

Затем он создает новый поток с целью, отправляет сообщение со ссылкой на вложение Sharepoint. Поток отображается в интерфейсе Teams отправителя для (потенциального) ручного взаимодействия.

TeamsPhisher требует, чтобы у пользователей была учетная запись Microsoft Business (поддерживается MFA) с действующей лицензией Teams и Sharepoint, что характерно для многих крупных компаний.

Инструмент также предлагает режим препросмотра, чтобы помочь проверить установленные целевые списки и оценить внешний вид сообщений с точки зрения получателя.

Среди других функций TeamsPhisher: отправка безопасных ссылок на файлы, которые может просматривать только предполагаемый получатель, указание задержки между передачами сообщений для обхода ограничения скорости, а также запись выходных данных в файл журнала.

Проблема, которую успешно реализует TeamsPhisher, все еще существует, и Microsoft до сих пор не намерена ее устранять, отмечая, что успех зависит от социальной инженерии и клиентам следует практиковать хорошие компьютерные привычки в Интернете.

Учитывая, что злоумышленники также могут использовать TeamsPhisher для доставки вредоносного ПО в целевые организации без срабатывания сигналов тревоги, пользователям настоятельно рекомендуется отключать связь с внешними арендаторами, если в этом нет необходимости, или же создать белый список с доверенными доменами, что уменьшит риск эксплуатации.