0
0
Pesquisadores de segurança descobriram um bug que pode permitir que invasores entreguem malware diretamente na caixa de entrada do Microsoft Teams dos funcionários.
“As organizações que usam o Microsoft Teams herdam a configuração padrão da Microsoft, que permite que usuários de fora de sua organização entrem em contato com seus funcionários”, explicou Max Corbridge, pesquisador da Jumpsec.
Com um pretexto de engenharia social para atingir o alvo, um ataque de entrega de malware explorando essa vulnerabilidade tem uma chance considerável de sucesso.
Ignorando os controles de segurança
Muitas organizações têm controles de segurança permissivos que permitem que locatários externos (usuários M365 fora da organização) enviem mensagens para seus funcionários. Há uma razão para isso: eles podem querer e precisar permitir comunicações via Teams com membros de outras organizações, provedores de serviços e assim por diante.
Esses usuários externos (locatários) por padrão não podem enviar arquivos para funcionários de outra organização, mas os controles de segurança do lado do cliente que não permitem isso podem ser ignorados, descobriram Corbridge e seu colega pesquisador e chefe de segurança ofensiva da Jumpsec, Tom Ellson.
“A exploração da vulnerabilidade foi direta usando uma técnica IDOR tradicional de alternar o ID do destinatário interno e externo na solicitação POST”, explicaram.
Isso permite que o locatário/invasor externo envie uma carga mal-intencionada que aparecerá na caixa de entrada do destino como um arquivo para download.
A parte mal-intencionada pode aumentar ainda mais a probabilidade de um ataque bem-sucedido registrando um domínio semelhante ao domínio da organização de destino, registrando-o no M365 e usando um endereço de email que imita o endereço de um membro conhecido da organização de destino.
A mensagem recebida será marcada com um banner “Externo” e o alvo será avisado para ter cuidado extra ao interagir com esse usuário “externo”, mas uma porcentagem significativa de funcionários provavelmente ignorará o aviso.
“Quando essa vulnerabilidade é combinada com a engenharia social via Teams, torna-se muito fácil iniciar uma conversa de ida e volta, atender a uma chamada, compartilhar telas e muito mais”, observou Corbridge.
“Ao usar isso em um compromisso real, o pretexto de um técnico de TI foi usado para perguntar ao alvo se ele poderia entrar em uma chamada para atualizar algum software crítico. Uma vez na chamada, essa vulnerabilidade foi aproveitada para entregar uma carga útil e, quando combinada com um ataque de engenharia social completo, foi implicitamente confiável pelo alvo.”
A carga maliciosa é entregue na caixa de entrada do Microsoft Teams de um destino, como um arquivo para download (Fonte: Jumpsec)
Microsoft Teams como veículo para entrega de malware
A beleza dessa tática é que ela evita quase todos os controles de segurança antiphishing modernos, e particularmente aqueles relacionados ao e-mail.
Além disso, embora a maioria dos funcionários tenha sido ensinada a não clicar em links ou baixar anexos de e-mails não solicitados, muitos ainda confiam inerentemente nas identidades do Teams e nas mensagens recebidas por meio da plataforma – e os invasores perceberam isso.
A Corbridge diz que notificou a Microsoft sobre sua descoberta e que a empresa disse que essa vulnerabilidade “não atendia à barreira para manutenção imediata”.
Esperamos que a hora da manutenção chegue em breve. Enquanto isso, ele aconselha as organizações a:
- Remover a opção de locatários externos poderem entrar em contato com funcionários (se não for necessário)
- Altere as configurações de segurança para permitir apenas a comunicação com determinados domínios permitidos (se o número de organizações que eles precisam manter em contato for pequeno) e/ou
- Instrua a equipe sobre a possibilidade de aplicativos de produtividade como Teams, Slack ou SharePoint serem usados por invasores para montar ataques de engenharia social
Detectar tentativas pode ser difícil, já que a Microsoft atualmente não fornece logs que cubram eventos potencialmente mal-intencionados originados de locatários externos, e usar logs de proxy da Web para alertar sobre membros da equipe que aceitam solicitações de mensagens externas oferece insights muito limitados, acrescentou.
FONTE: HELPNET SECURITY