2023-07-06 15:10:11
В конце июня мы
рассказывали про уязвимость, раскрытую исследователями из
Jumpsec, которая позволяет доставлять вредоносное ПО через
Microsoft Teams с учетной записью за пределами целевой организации, несмотря на ограничения в приложении для файлов из внешних источников.
Тогда,
Microsoft, подтвердив наличие уязвимости, посчитала ее не заслуживающей срочного исправления, а зря.
На неделе один из участников
Red Team из ВМС США разработал и представил инструмент на основе Python под названием TeamsPhisher, который использует эту проблему безопасности в
Microsoft Teams для реализации автоматизированных атак на практике.
Он объединяет идею атаки
Jumpsec, методы, разработанные
Андреа Сантезе, а также аутентификацию и вспомогательные функции из инструмента
TeamsEnum Бастиана Канбаха.
Работает утилита следующим образом: отправляется вложение, сообщение и список целевых пользователей
Teams, после чего вложение загрузится в
Sharepoint отправителя, а затем переберется список целей.
При этом
TeamsPhisher сначала проверяет существование целевого пользователя и его способность получать внешние сообщения, что является необходимым условием для проведения атаки.
Затем он создает новый поток с целью, отправляет сообщение со ссылкой на вложение
Sharepoint. Поток отображается в интерфейсе
Teams отправителя для (потенциального) ручного взаимодействия.
TeamsPhisher требует, чтобы у пользователей была учетная запись
Microsoft Business (поддерживается MFA) с действующей лицензией
Teams и Sharepoint, что характерно для многих крупных компаний.
Инструмент также предлагает режим препросмотра, чтобы помочь проверить установленные целевые списки и оценить внешний вид сообщений с точки зрения получателя.
Среди других функций
TeamsPhisher: отправка безопасных ссылок на файлы, которые может просматривать только предполагаемый получатель, указание задержки между передачами сообщений для обхода ограничения скорости, а также запись выходных данных в файл журнала.
Проблема, которую успешно реализует
TeamsPhisher, все еще существует, и
Microsoft до сих пор не намерена ее устранять, отмечая, что
успех зависит от социальной инженерии и
клиентам следует практиковать хорошие компьютерные привычки в Интернете.
Учитывая, что злоумышленники также могут использовать
TeamsPhisher для доставки вредоносного ПО в целевые организации без срабатывания сигналов тревоги, пользователям настоятельно рекомендуется отключать связь с внешними арендаторами, если в этом нет необходимости, или же создать белый список с доверенными доменами, что уменьшит риск эксплуатации.
5.0K views12:10