В кконце июня исследователи Макс Корбридж и Том Эллсон из Jumpsec раскрыли атаку, которая позволяет доставлять вредоносное ПО через Microsoft Teams с учетной записью за пределами целевой организации, несмотря на ограничения в приложении для файлов из внешних источников.
ТогдаMicrosoft, подтвердив наличие уязвимости, посчитала ее не заслуживающей срочного исправления, а зря.
Как сообщает телеграм-канал SecAtor, на этой неделе один из участников Red Team из ВМС США разработал и представил инструмент на основе Python под названием TeamsPhisher, который использует эту проблему безопасности в Microsoft Teams для реализации автоматизированных атак на практике.
Он объединяет идею атаки Jumpsec, методы, разработанные Андреа Сантезе, а также аутентификацию и вспомогательные функции из инструмента TeamsEnum Бастиана Канбаха.
Работает утилита следующим образом: отправляется вложение, сообщение и список целевых пользователей Teams, после чего вложение загрузится в Sharepoint отправителя, а затем переберется список целей.
При этом TeamsPhisher сначала проверяет существование целевого пользователя и его способность получать внешние сообщения, что является необходимым условием для проведения атаки.
Затем он создает новый поток с целью, отправляет сообщение со ссылкой на вложение Sharepoint. Поток отображается в интерфейсе Teams отправителя для (потенциального) ручного взаимодействия.
TeamsPhisher требует, чтобы у пользователей была учетная запись Microsoft Business (поддерживается MFA) с действующей лицензией Teams и Sharepoint, что характерно для многих крупных компаний.
Инструмент также предлагает режим препросмотра, чтобы помочь проверить установленные целевые списки и оценить внешний вид сообщений с точки зрения получателя.
Среди других функций TeamsPhisher: отправка безопасных ссылок на файлы, которые может просматривать только предполагаемый получатель, указание задержки между передачами сообщений для обхода ограничения скорости, а также запись выходных данных в файл журнала.
Проблема, которую успешно реализует TeamsPhisher, все еще существует, и Microsoft до сих пор не намерена ее устранять, отмечая, что успех зависит от социальной инженерии и клиентам следует практиковать хорошие компьютерные привычки в Интернете.
Учитывая, что злоумышленники также могут использоватьTeamsPhisher для доставки вредоносного ПО в целевые организации без срабатывания сигналов тревоги, пользователям настоятельно рекомендуется отключать связь с внешними арендаторами, если в этом нет необходимости, или же создать белый список с доверенными доменами, что уменьшит риск эксплуатации.
С заботой о вашей безопасности, команда Origin Security
