Uma nova ferramenta está disponível no GitHub que oferece aos invasores uma maneira de aproveitar uma vulnerabilidade divulgada recentemente no Microsoft Teams e entregar automaticamente arquivos mal-intencionados para usuários segmentados do Teams em uma organização.
A ferramenta, batizada de “TeamsPhisher”, funciona em ambientes onde uma organização permite comunicações entre seus usuários internos do Teams e usuários externos do Teams — ou locatários. Ele permite que os invasores entreguem cargas úteis diretamente na caixa de entrada de uma vítima sem depender de um phishing tradicional ou golpes de engenharia social para chegar lá.
“Dê ao TeamsPhisher um anexo, uma mensagem e uma lista de usuários-alvo do Teams”, disse o desenvolvedor da ferramenta, Alex Reid, membro da Equipe Vermelha da Marinha dos EUA, em uma descrição da ferramenta no GitHub. “Ele carregará o anexo no Sharepoint do remetente e, em seguida, iterará pela lista de destinos.”
Fluxos de ataques cibernéticos totalmente automatizados
O TeamsPhisher incorpora uma técnica que dois pesquisadores do JUMPSEC Labs divulgaram recentemente para contornar um recurso de segurança no Microsoft Teams. Embora o aplicativo de colaboração permita comunicações entre usuários do Teams de diferentes organizações, ele bloqueia o compartilhamento de arquivos entre eles.
Os pesquisadores do JUMPSEC Max Corbridge e Tom Ellson encontraram uma maneira relativamente fácil de contornar essa restrição, usando o que é conhecido como a técnica de referência direta de objeto inseguro (IDOR). Como o fornecedor de segurança Varonis observou em uma postagem recente no blog, “os bugs do IDOR permitem que um invasor interaja maliciosamente com um aplicativo Web manipulando uma ‘referência direta de objeto’, como uma chave de banco de dados, parâmetro de consulta ou nome de arquivo”.
Corbridge e Ellson descobriram que poderiam explorar um problema de IDOR no Teams simplesmente alternando o ID do destinatário interno e externo ao enviar uma solicitação POST. Os dois pesquisadores descobriram que, quando uma carga é enviada dessa maneira, a carga é hospedada no domínio do SharePoint do remetente e chega na caixa de entrada da equipe da vítima. Corbridge e Ellson identificaram a vulnerabilidade como afetando todas as organizações que executam o Teams em uma configuração padrão e a descreveram como algo que um invasor poderia usar para ignorar mecanismos antiphishing e outros controles de segurança. A Microsoft reconheceu o problema, mas o avaliou como algo que não merecia uma correção imediata.
TeamsPhisher incorpora múltiplas técnicas de ataque
Reid descreveu sua ferramenta TeamsPhisher como incorporando as técnicas do JUMPSEC, bem como algumas pesquisas anteriores sobre como aproveitar o Microsoft Teams para acesso inicial pela pesquisadora independente Andrea Santese. Ele também incorpora técnicas do TeamsEnum, uma ferramenta para enumerar usuários do Teams, que um pesquisador da Secure Systems Engineering GmbH já havia lançado anteriormente para o GitHub.
De acordo com Reid, a maneira como o TeamsPhisher funciona é primeiro enumerar um usuário alvo do Teams e verificar se o usuário pode receber mensagens externas. Em seguida, o TeamsPhisher cria um novo thread com o usuário de destino. Ele usa uma técnica que permite que a mensagem chegue à caixa de entrada do alvo sem a tela inicial habitual “Alguém de fora da sua organização enviou uma mensagem para você, você tem certeza de que deseja visualizá-la”, disse Reid.
“Com o novo thread criado entre nosso remetente e o destino, a mensagem especificada será enviada ao usuário junto com um link para o anexo no Sharepoint”, observou. “Depois que essa mensagem inicial for enviada, o thread criado ficará visível na GUI do Teams do remetente e poderá ser interagido manualmente, se necessário, caso a caso.”
A Microsoft não respondeu imediatamente a um pedido do Dark Reading em busca de comentários sobre se o lançamento do TeamsPhisher poderia ter mudado sua posição sobre a correção do bug que o JUMPSEC encontrou. A própria JUMPSEC pediu às organizações que usam o Microsoft Teams que analisem se há alguma necessidade comercial de habilitar comunicações entre usuários internos do Teams e locatários externos.
“Se você não estiver usando o Teams atualmente para comunicação regular com locatários externos, reforce seus controles de segurança e remova a opção completamente”, aconselhou a empresa.
FONTE: DARK READING