Automatisierte Malware wird über das Exploit-Tool von Microsoft Teams bereitgestellt

Von Chance in Computer Security, Phishing

Übersetzen Sie in:

Das Tool mit dem Namen „TeamsPhisher“ ermöglicht es Penetrationstestern und Angreifern, bedrohliche Dateien aus einer externen Umgebung direkt an einen Teams-Benutzer zu übermitteln.

Angreifer haben jetzt Zugriff auf ein leistungsstarkes „TeamsPhisher“-Tool, das eine kürzlich entdeckte Schwachstelle in Microsoft Teams ausnutzt. Dieses Tool bietet eine nahtlose Möglichkeit, beschädigte Dateien mithilfe von Teams an bestimmte Benutzer innerhalb einer Organisation zu übermitteln. Durch Ausnutzung der Kommunikationsmöglichkeiten zwischen internen und externen Teams-Benutzern können Angreifer schädliche Payloads direkt in die Posteingänge der Opfer einschleusen, ohne dass herkömmliche Phishing- oder Social-Engineering-Taktiken erforderlich sind. Die Verfügbarkeit dieses Tools gibt Anlass zur Sorge hinsichtlich der Möglichkeit einer Zunahme gezielter Angriffe und unterstreicht, wie wichtig es für Unternehmen ist, ihre Sicherheitsmaßnahmen zum Schutz vor solchen Bedrohungen zu verstärken.

Voraussetzungen und Modus Operandi

Laut dem Entwickler des Tools, Alex Reid, einem Mitglied des US Navy Red Teams, kann TeamsPhisher angewiesen werden, einen Anhang auf den Sharepoint des Absenders hochzuladen und dann eine bestimmte Liste von Teams-Benutzern anzusprechen. Bei diesem Vorgang wird dem Tool ein Anhang, eine Nachricht und eine Liste der Zielbenutzer bereitgestellt. TeamsPhisher führt dann die notwendigen Schritte durch, um die beabsichtigten Aktionen auszuführen.

TeamsPhisher nutzt eine Technik, die kürzlich von den JUMPSEC Labs-Forschern Max Corbridge und Tom Ellson enthüllt wurde, um eine Sicherheitsbeschränkung in Microsoft Teams zu überwinden. Während die Kollaborationsplattform die Kommunikation zwischen Benutzern verschiedener Organisationen ermöglicht, ist die Dateifreigabe eingeschränkt. Corbridge und Ellson identifizierten jedoch eine Schwachstelle im Bereich Insecure Direct Object Reference (IDOR), die es ihnen ermöglichte, diese Einschränkung effektiv zu umgehen.

Durch die Manipulation der ID des internen und externen Empfängers in einer POST-Anfrage stellten sie fest, dass sich eine auf diese Weise gesendete Nutzlast in der SharePoint-Domäne des Absenders befinden und im Teams-Posteingang des Empfängers landen würde. Diese Schwachstelle betrifft alle Organisationen, die Teams in einer Standardkonfiguration verwenden, und ermöglicht es Angreifern, Anti-Phishing-Maßnahmen und andere Sicherheitskontrollen zu umgehen. Obwohl Microsoft das Problem anerkannt hat, haben sie es nicht als unmittelbar vorrangig für die Behebung eingestuft. Daher müssen Unternehmen wachsam bleiben und proaktive Maßnahmen ergreifen, um dieses potenzielle Sicherheitsrisiko zu mindern.

Reids TeamsPhisher-Tool kombiniert Techniken von JUMPSEC, Andrea Santese und Secure Systems Engineering GmbH. Es nutzt TeamsEnum für die Benutzeraufzählung und integriert Methoden für den Erstzugriff. TeamsPhisher überprüft die Fähigkeit eines Zielbenutzers, externe Nachrichten zu empfangen, und erstellt einen neuen Thread, um die Nachricht direkt an den Posteingang zu übermitteln und den üblichen Bestätigungsbildschirm zu umgehen. Sobald der neue Thread gestartet ist, werden die Nachricht und der Sharepoint-Anhangslink an den Zielbenutzer gesendet. Nach dem Senden der ersten Nachricht kann der Absender den erstellten Thread in seiner Teams-GUI anzeigen und mit ihm interagieren und bei Bedarf auf bestimmte Fälle eingehen.“

Quellen wandten sich an Microsoft mit der Bitte um einen Kommentar zu den Auswirkungen der Veröffentlichung von TeamsPhisher auf ihren Ansatz zur Behebung der entdeckten Sicherheitslücke, eine Antwort ist jedoch noch ausgeblieben. JUMPSEC hat Organisationen, die Microsoft Teams nutzen, empfohlen, die Notwendigkeit der Ermöglichung der Kommunikation zwischen internen Benutzern und externen Mandanten zu prüfen. „Wenn Sie nicht regelmäßig mit externen Mandanten über Teams kommunizieren, ist es ratsam, Ihre Sicherheitskontrollen zu verbessern und diese Option vollständig zu deaktivieren“, rät das Unternehmen.