Uma ferramenta que automatiza a entrega de malware de invasores externos para atingir a caixa de entrada do Microsoft Teams dos funcionários foi lançada.
TeamsPhisher (Fonte: Alex Reid)
Sobre a vulnerabilidade explorada
Como observado pelos pesquisadores da Jumpsec Max Corbridge e Tom Ellson, a configuração padrão do Microsoft Teams permite que locatários externos (ou seja, usuários M365 fora da organização) enviem mensagens aos funcionários de uma organização.
A mesma configuração não permite que locatários externos enviem arquivos, mas essa restrição pode ser contornada alternando o ID do destinatário interno e externo na solicitação POST, descobriram os pesquisadores.
“Quando essa vulnerabilidade é combinada com a engenharia social via Teams, torna-se muito fácil iniciar uma conversa de ida e volta, fazer uma chamada, compartilhar telas e muito mais”, explicou Corbridge.
A Microsoft diz que a falha não “atende ao padrão de manutenção imediata”, já que a exploração bem-sucedida depende de engenharia social.
Sobre o TeamsPhisher
O TeamsPhisher é uma ferramenta baseada em Python criada pelo teamer Alex Reid, da Marinha dos EUA, que permite que invasores (autorizados ou não) entreguem anexos aos usuários do Microsoft Teams.
O TeamsPhisher incorpora a técnica de Corbridge e Ellson para manipular solicitações da web do Teams, técnicas anteriores divulgadas pela vendedora Andrea Santese, e usa o script Python do TeamsEnum (do consultor de segurança da Secure Systems Engineering Bastian Kanbach) para encontrar usuários existentes do Microsoft Teams.
“O TeamsPhisher exige que os usuários tenham uma conta Microsoft Business (em oposição a uma conta pessoal, por exemplo, @hotmail, @outlook, etc.) com uma licença válida do Teams e do Sharepoint. Isso significa que você precisará de um locatário do AAD e de pelo menos um usuário com uma licença correspondente. No momento da publicação, existem algumas licenças de avaliação gratuita disponíveis no centro de licenças do AAD que atendem aos requisitos para essa ferramenta”, explicou Reid.
Usar a ferramenta é fácil: o teamer / atacante de leitura fornece o anexo malicioso, uma mensagem e uma lista de usuários do Teams alvo. O anexo é carregado no SharePoint do remetente.
O TeamsPhisher encontra o usuário alvo e cria um novo bate-papo em grupo incluindo o e-mail do alvo duas vezes.
E-mail de phishing enviado via TeamsPhisher – Do ponto de vista do alvo (Fonte: Alex Reid)
“Com o novo thread criado entre nosso remetente e o destino, a mensagem especificada será enviada ao usuário junto com um link para o anexo no Sharepoint”, concluiu.
A ferramenta também tem a opção de fazer com que os alvos se autentiquem para visualizar o anexo no Sharepoint – uma etapa que pode convencer o destino a fazê-lo.
O que fazer até que a falha seja corrigida
Reid destacou que as organizações podem mitigar o risco representado por essa vulnerabilidade gerenciando as opções relacionadas ao acesso externo por meio do centro de administração do Microsoft Teams. “A Microsoft oferece flexibilidade às organizações para escolher as melhores permissões para atender às suas necessidades, incluindo um bloco universal, bem como colocar na lista de permissões apenas locatários externos específicos para comunicações.”
A Microsoft pediu aos clientes que tenham cuidado ao clicar em links para páginas da Web, abrir arquivos desconhecidos ou aceitar transferências de arquivos.
FONTE: HELPNET SECURITY