0
0
Um bug na versão mais recente do Microsoft Teams permite que fontes externas enviem arquivos para os funcionários de uma organização, embora o aplicativo normalmente bloqueie essa atividade, descobriram pesquisadores. Isso dá aos agentes de ameaças uma alternativa a campanhas de phishing complexas e caras para entregar malware em organizações-alvo — mas a Microsoft não abordará isso como prioridade.
Os pesquisadores Max Corbridge (@CorbridgeMax) e Tom Ellson (@tde_sec), da Red Team da JUMPSEC Labs, descobriram uma maneira de explorar o recurso Microsoft Teams External Tenants para inserir malware em arquivos enviados aos funcionários de uma organização, ignorando assim quase todas as proteções antiphishing modernas, revelaram em um post publicado nesta semana.
“Essa vulnerabilidade afeta todas as organizações que usam o Teams na configuração padrão”, escreveu Corbridge no post: “Como tal, ela tem um enorme alcance potencial e pode ser aproveitada por agentes de ameaças para contornar muitos controles tradicionais de segurança de entrega de carga útil.”
O Teams é o aplicativo de mensagens hospedadas e compartilhamento de arquivos amplamente usado pela Microsoft, que já era usado por cerca de 91% das organizações da Fortune 100 antes da pandemia de Covid-19, de acordo com dados financeiros da Microsoft. Durante a pandemia, o uso do Teams se expandiu ainda mais, já que muitas organizações passaram a contar com ele para se comunicar e colaborar com sua força de trabalho remota.
Embora o Teams seja normalmente usado para comunicação entre funcionários dentro da mesma organização, a configuração padrão da Microsoft para equipes permite que usuários de fora da empresa entrem em contato com seus funcionários, disseram os pesquisadores. É aí que surge a oportunidade para os agentes de ameaças explorarem o aplicativo para entregar malware, disseram eles.
Isso pode ser feito ignorando os controles de segurança do lado do cliente que impedem que locatários externos enviem arquivos — que, neste caso, seriam maliciosos — para usuários internos, explicaram os pesquisadores.
Como funciona o Microsoft Teams Exploit
A vulnerabilidade está em um recurso que permite que qualquer usuário do Microsoft Teams com uma conta da Microsoft entre em contato com o que são chamados de “locações externas”, explicaram os pesquisadores. Nesse caso, essas locações seriam qualquer empresa ou organização usando equipes da Microsoft, cada uma com sua própria locação.
“Os usuários de uma locação podem enviar mensagens para usuários de outra locação”, explicou Corbridge. “Ao fazer isso, um banner ‘Externo’ aparece ao lado do nome.”
Embora alguns funcionários possam não clicar em uma mensagem de uma fonte externa, muitos o fariam, algo que Corbridge disse que os pesquisadores já provaram como parte de um engajamento da equipe vermelha com o objetivo de ganhar uma posição inicial no ambiente de um cliente.
“Isso é especialmente verdadeiro se a parte mal-intencionada estiver se passando por um membro conhecido de sua organização e tiver comprado e registrado um domínio de imitação de marca, como as equipes vermelhas costumam fazer”, observou ele na postagem.
Embora os locatários externos do Teams sejam impedidos de enviar arquivos para funcionários de outra organização – ao contrário de sua capacidade de enviar arquivos entre funcionários em uma única organização ou locação – Corbridge disse que ele e o chefe de segurança ofensiva da JUMPSEC, Tom Ellson, conseguiram contornar esse controle em 10 minutos.
“A exploração da vulnerabilidade foi direta usando uma técnica IDOR tradicional de alternar o ID do destinatário interno e externo na solicitação POST”, explicou Corbridge no post: “Ao enviar a carga útil como esta, ela é realmente hospedada em um domínio do SharePoint e o destino a baixa de lá. Ele aparece, no entanto, na caixa de entrada de destino como um arquivo, não um link.”
Os pesquisadores testaram sua técnica em um ambiente de cliente maduro durante um exercício de equipe vermelha no mês passado e confirmaram que ela “permitiu uma avenida de entrega de carga útil muito mais simples, confiável e fácil de usar do que as jornadas tradicionais de phishing”, escreveu ele.
Um bug perigoso do aplicativo de colaboração
O bug fornece uma “avenida potencialmente lucrativa” para os agentes de ameaças por causa de como é simples para eles entregar malware às organizações sem a necessidade de criar mensagens de e-mail com links ou arquivos maliciosos e esperar que os funcionários peguem a isca e cliquem neles, escreveu Corbridge.
Os agentes de ameaças podem facilmente comprar um domínio semelhante ao de uma organização-alvo e registrá-lo no Microsoft 365, configurando assim uma locação legítima do Teams e não tendo que criar uma infraestrutura de phishing complexa e, em seguida, confiar em funcionários já experientes em táticas de phishing para cometer um erro, disse ele.
Ao explorar a falha, uma carga mal-intencionada é servida por meio de um domínio confiável do Sharepoint como um arquivo na caixa de entrada do Teams de um destino. “Como tal, a carga herda a reputação de confiança do Sharepoint, não um site de phishing malicioso”, escreveu Corbridge.
Os agentes de ameaças podem até usar engenharia social e iniciar uma conversa com um funcionário, o que pode levar à participação em uma chamada do Teams, ao compartilhamento de telas e muito mais, permitindo que eles realizem atividades ainda mais nefastas ou até mesmo entreguem a carga útil por conta própria, acrescentou.
Nenhum patch chegando: mitigações e proteções
Os pesquisadores relataram a vulnerabilidade à Microsoft, que validou sua legitimidade, mas disse que “não atendia à barra para manutenção imediata”, escreveu Corbridge.
Para atenuar o bug, as organizações podem analisar se há um requisito comercial para que os locatários externos tenham permissão para enviar mensagens à equipe e, se esse não for o caso, remover a opção de fazer isso no Centro de Administração do Microsoft Teams > Acesso Externo.
Se uma organização exige comunicação com locatários externos, mas tem apenas um punhado de organizações com as quais os funcionários se comunicam regularmente, os administradores também podem usar esse campo para alterar as configurações de segurança da equipe para permitir apenas a comunicação com determinados domínios permitidos, disseram os pesquisadores.
Se nenhuma dessas opções de mitigação for viável para uma organização, os administradores podem tentar educar a equipe sobre a possibilidade de aplicativos de produtividade como Teams, Slack, SharePoint e outros lançarem campanhas de engenharia social semelhantes às encontradas em mensagens de email para ajudá-los a evitar o comprometimento.
As organizações também podem usar logs de proxy da Web para fornecer alertas ou, pelo menos, visibilidade de linha de base para membros da equipe que aceitam solicitações de mensagens externas, acrescentou Corbridge.
“A dificuldade, no momento, é transformar isso em uma peça útil de telemetria com nomes de usuário e a mensagem em questão”, mas pode fornecer alguma ideia de quão comum essa transação é dentro de uma organização para potencial mitigação, reconheceu.
FONTE: DARK READING