Ένα μέλος της κόκκινης ομάδας του Ναυτικού των ΗΠΑ δημοσίευσε ένα εργαλείο που ονομάζεται TeamsPhisher. Το εργαλείο αξιοποιεί ένα ανεπίλυτο ζήτημα ασφαλείας στο Microsoft Teams που επιτρέπει τη διακίνηση αρχείων από χρήστες εκτός ενός στοχευμένου οργανισμού.
Δείτε επίσης: Πώς να χρησιμοποιήσετε animated backgrounds στο Microsoft Teams
Το εργαλείο αξιοποιεί ένα πρόβλημα που επισημάνθηκε τον περασμένο μήνα από τη Jumpsec, μια εταιρεία υπηρεσιών ασφαλείας με έδρα το Ηνωμένο Βασίλειο. Οι Max Corbridge και Tom Ellson της εταιρείας εξήγησαν ότι ένας εισβολέας μπορεί εύκολα να παρακάμψει τους περιορισμούς αποστολής αρχείων του Microsoft Teams για να παραδώσει κακόβουλο λογισμικό από έναν εξωτερικό λογαριασμό.
Το επίτευγμα είναι δυνατό χάρη στις προστασίες που παρέχει η εφαρμογή. Ωστόσο, αυτές οι προστασίες μπορεί να εξαπατηθούν, επιτρέποντας σε έναν εξωτερικό χρήστη να αντιμετωπίζεται ως εσωτερικός, απλά αλλάζοντας το αναγνωριστικό στο αίτημα POST ενός μηνύματος.
Το “TeamsPhisher” είναι ένα εργαλείο Python που χρησιμοποιείται για αυτοματοποιημένες επιθέσεις. Η εφαρμογή ενσωματώνει τις τεχνικές που αναπτύχθηκαν από τον Andrea Santese και τους ερευνητές του Jumpsec για επίθεση, όπως επίσης και λειτουργίες ελέγχου ταυτότητας και βοηθητικές λειτουργίες από το εργαλείο «TeamsEnum» του Bastian Kanbach.
“Δώστε στο TeamsPhisher ένα συνημμένο, ένα μήνυμα και μια λίστα με τους χρήστες-στόχους του Teams. Θα ανεβάσει το συνημμένο στο Sharepoint του αποστολέα και στη συνέχεια θα επαναλάβει τη λίστα των στόχων“, αναφέρει η περιγραφή από του Alex Reid, τον προγραμματιστή της κόκκινης ομάδας.
Το TeamsPhisher ελέγχει καταρχάς αν ο χρήστης που θέλουμε να επιτεθούμε υπάρχει και μπορεί να λαμβάνει μηνύματα από εξωτερικούς παρόχους. Αυτό είναι απαραίτητο για να πραγματοποιηθεί η επίθεση.
Δείτε ακόμα: Microsoft Teams: Σφάλμα επιτρέπει την παράδοση κακόβουλου λογισμικού
Στη συνέχεια, δημιουργεί ένα νέο νήμα με σκοπό να τους στείλει ένα μήνυμα που περιλαμβάνει σύνδεσμο συννημμένου Sharepoint. Το νήμα εμφανίζεται στη διεπαφή του Teams του αποστολέα για ενδεχόμενη χειροκίνητη αλληλεπίδραση.
Για να χρησιμοποιήσετε το TeamsPhisher, χρειάζεται να έχετε λογαριασμό Microsoft Business με έγκυρη άδεια χρήσης για τα Teams και Sharepoint. Αυτό είναι κάτι που απαιτείται συνήθως από μεγάλες επιχειρήσεις. Επίσης υποστηρίζεται η λειτουργία MFA.
Το εργαλείο έχει μια “λειτουργία προεπισκόπησης” που βοηθά τους χρήστες να επιβεβαιώσουν τις λίστες στόχων που έχουν ορίσει και να ελέγξουν πώς θα εμφανίζονται τα μηνύματα από την οπτική γωνία του παραλήπτη.
Το TeamsPhisher θα μπορούσε να έχει περισσότερες παραμετροποιήσιμες επιλογές και προαιρετικά ορίσματα, που θα μπορούσαν να βελτιώσουν την επίθεση. Αυτό σημαίνει ότι θα στείλετε ασφαλείς συνδέσμους αρχείων που μπορούν να ανοίξουν μόνο από τον παραλήπτη. Επιπλέον, μπορείτε να θέσετε ένα χρονικό διάστημα μεταξύ της αποστολής των μηνυμάτων για να αποτραπεί η υπερφόρτωση του συστήματος. Τέλος, μπορείτε να καταγράψετε τα έξοδα σε ένα αρχείο για να διατηρήσετε τα οικονομικά στοιχεία.
Το θέμα με το TeamsPhisher εξακολουθεί να υπάρχει και η Microsoft αναφέρθηκε στους ερευνητές της Jumpsec ότι δεν θα μπορούσαν να τους εξυπηρετήσουν αμέσως.
Δείτε επίσης: Microsoft Teams: 10 συμβουλές για πιο παραγωγικά meetings
Προτείνουμε στους οργανισμούς να απενεργοποιήσουν την επικοινωνία με εξωτερικούς ενοικιαστές, εάν δεν είναι απαραίτητο, μέχρι να ληφθούν μέτρα από τη Microsoft. Μπορούμε να δημιουργήσουμε μια λίστα με αξιόπιστους τομείς που επιτρέπονται, προκειμένου να περιοριστεί ο κίνδυνος εκμετάλλευσης.