0
0
Os invasores que obtêm acesso inicial à rede de uma vítima agora têm outro método de expandir seu alcance: usar tokens de acesso de outros usuários do Microsoft Teams para se passar por esses funcionários e explorar sua confiança.
Isso é de acordo com a empresa de segurança Vectra, que afirmou em um comunicado em 13 de setembro que o Microsoft Teams armazena tokens de autenticação não criptografados, permitindo que qualquer usuário acesse o arquivo de segredos sem a necessidade de permissões especiais. De acordo com a empresa, um invasor com acesso local ou remoto ao sistema pode roubar as credenciais de qualquer usuário atualmente online e se passar por ele, mesmo quando estiver offline, e se passar pelo usuário por meio de qualquer recurso associado, como o Skype, e ignorar a autenticação multifator ( MFA).
A fraqueza dá aos invasores a capacidade de se mover pela rede de uma empresa com muito mais facilidade, diz Connor Peoples, arquiteto de segurança da Vectra, uma empresa de segurança cibernética com sede em San Jose, Califórnia.
“Isso permite várias formas de ataques, incluindo adulteração de dados, spear phishing, comprometimento de identidade e pode levar à interrupção dos negócios com a engenharia social correta aplicada ao acesso”, diz ele, observando que os invasores podem “alterar comunicações legítimas dentro de uma organização destruindo seletivamente, exfiltrando ou participando de ataques de phishing direcionados.”
A Vectra descobriu o problema quando os pesquisadores da empresa examinaram o Microsoft Teams em nome de um cliente, procurando maneiras de excluir usuários inativos, uma ação que o Teams normalmente não permite. Em vez disso, os pesquisadores descobriram um arquivo que armazenava tokens de acesso em texto simples, o que lhes dava a capacidade de se conectar ao Skype e ao Outlook por meio de suas APIs. Como o Microsoft Teams reúne uma variedade de serviços – incluindo esses aplicativos, SharePoint e outros – que o software requer tokens para obter acesso, afirmou a Vectra no comunicado .
Com os tokens, um invasor pode não apenas obter acesso a qualquer serviço como usuário atualmente online, mas também ignorar a MFA porque a existência de um token válido normalmente significa que o usuário forneceu um segundo fator.
No final, o ataque não requer permissões especiais ou malware avançado para conceder aos invasores acesso suficiente para causar dificuldades internas para uma empresa visada, afirmou o comunicado.
“Com máquinas comprometidas suficientes, os invasores podem orquestrar as comunicações dentro de uma organização”, afirmou a empresa no comunicado. “Assumindo o controle total de lugares críticos – como o chefe de engenharia, CEO ou CFO de uma empresa – os invasores podem convencer os usuários a realizar tarefas prejudiciais à organização. Como você pratica o teste de phishing para isso?”
Microsoft: nenhum patch necessário
A Microsoft reconheceu os problemas, mas disse que o fato de o invasor já ter comprometido um sistema na rede de destino reduziu a ameaça representada e optou por não corrigir.
“A técnica descrita não atende ao nosso padrão de serviço imediato, pois exige que um invasor primeiro obtenha acesso a uma rede de destino”, disse um porta-voz da Microsoft em comunicado enviado ao Dark Reading. “Agradecemos a parceria da Vectra Protect na identificação e divulgação responsável desse problema e consideraremos abordá-lo em uma versão futura do produto”.
Em 2019, o Open Web Application Security Project (OWASP) lançou uma lista dos 10 principais problemas de segurança da API . O problema atual pode ser considerado autenticação de usuário quebrada ou configuração incorreta de segurança, o segundo e o sétimo problemas classificados na lista.
“Eu vejo essa vulnerabilidade como outro meio de movimento lateral principalmente – essencialmente outro caminho para uma ferramenta do tipo Mimikatz”, diz John Bambenek, principal caçador de ameaças da Netenrich, um provedor de serviços de análise e operações de segurança.
Uma das principais razões para a existência da fraqueza de segurança é que o Microsoft Teams é baseado na estrutura de aplicativos Electron, que permite que as empresas criem software com base em JavaScript, HTML e CSS. À medida que a empresa se afasta dessa plataforma, será capaz de eliminar a vulnerabilidade, diz a Vectra’s Peoples.
“A Microsoft está fazendo um grande esforço para avançar para os Progressive Web Apps, o que mitigaria muitas das preocupações atualmente trazidas pela Electron”, diz ele. “Em vez de rearquitetar o aplicativo Electron, minha suposição é que eles estão dedicando mais recursos ao estado futuro.”
A Vectra recomenda que as empresas usem a versão baseada em navegador do Microsoft Teams, que possui controles de segurança suficientes para evitar a exploração dos problemas. Os clientes que precisam usar o aplicativo de desktop devem “observar os principais arquivos do aplicativo para acesso por qualquer processo que não seja o aplicativo oficial do Teams”, afirmou a Vectra no comunicado.
FONTE: DARK READING