Güvenlik araştırmacıları, saldırganların Microsoft Teams’ten erişim belirteçlerini çalmasına ve hassas kurumsal iletişimlere, e-postalara ve SharePoint belgelerine yetkisiz erişim sağlama potansiyeline sahip olmasına olanak tanıyan karmaşık bir yöntem keşfetti.
Saldırı vektörü, Microsoft’un üretkenlik paketine güvenen kuruluşlar için önemli bir güvenlik riskini temsil ediyor; zira çalınan tokenlar, şirket ağları içinde yanal hareket ve sosyal mühendislik saldırıları için silah haline getirilebiliyor.
Bir kurbanın bilgisayarına ilk erişim sağlayan saldırganlar, Microsoft Teams tarafından diskte saklanan kimlik doğrulama belirteçlerini çıkarabilir.
Bu belirteçler, Microsoft’un hizmetlerine yönelik dijital anahtarlar görevi görerek, saldırganların parolalarına ihtiyaç duymadan kullanıcıların kimliğine bürünmelerine olanak tanıyor.
Tokenlar alındıktan sonra tehdit aktörlerinin Teams konuşmalarını okumasına, e-postalara erişmesine, paylaşılan belgelere göz atmasına ve meşru kullanıcının kimliğine bürünerek mesajlar göndermesine olanak tanıyor.
Bu yetenek, bir organizasyonun geneline yayılabilecek karmaşık sömürü sonrası faaliyetlere kapı açar.
Saldırı, Microsoft Teams’in şifrelenmiş kimlik doğrulama verilerini nasıl sakladığını kullanıyor. Güvenlik araştırmacıları, kimlik doğrulama işlemi sırasında Microsoft Teams’in msedgewebview2.exe adı verilen yerleşik Chromium tabanlı tarayıcı motorunu kullanarak bir alt süreç oluşturduğunu keşfetti.
Bu tarayıcı bileşeni, şifrelenmiş çerezleri kullanıcının AppData dizininde bulunan bir veritabanı dosyasına yazar.
Şifreleme mekanizması, makineye özel anahtarlar kullanarak hassas verileri şifreleyen bir Windows güvenlik özelliği olan DPAPI’ye (Veri Koruma API’si) dayanır.
Saldırganlar, JSON yapılandırma dosyasında depolanan şifreleme anahtarını Teams yerel önbelleğinde bularak bu şifrelemeyi atlayabilir.
Bu anahtarı ve şifrelenmiş çerez değerini çıkararak, AES-256-GCM şifrelemesini kullanarak kimlik doğrulama belirteçlerinin şifresini çözebilirler.
Araştırmacılar, Rust’ta tüm bu çıkarma sürecini otomatikleştiren ve saldırının pratik uygulanabilirliğini gösteren bir kavram kanıtlama aracını başarıyla geliştirdiler.
Saldırganlar Teams erişim belirteçlerini aldıktan sonra çeşitli kötü amaçlı etkinlikler gerçekleştirmek için Microsoft Graph API ile etkileşime girebilirler.
Güvenliği ihlal edilen kullanıcı hesabı bağlamında Teams konuşmalarını alabilir, mesajları okuyabilir ve gönderebilir ve e-postalara erişebilirler.
Güvenlik araştırmacıları, çalınan belirteçlerin, ek kimlik doğrulama gerektirmeden Microsoft Graph API uç noktalarıyla yetkisiz etkileşimi kolaylaştıran GraphSpy gibi istismar sonrası araçlara nasıl yüklenebileceğini bile gösterdi.
Bunun sonuçları basit veri hırsızlığının ötesine uzanıyor. Saldırganlar, meslektaşlarına kimlik avı mesajları göndermek, ağda kalıcılık sağlamak ve daha fazla güvenilirlikle sosyal mühendislik saldırıları gerçekleştirmek için ele geçirilen hesapları kullanabilir.
Kötü amaçlı etkinliklerin güvenilir bir dahili hesaptan kaynaklandığı göründüğünden, tespit edilmesi önemli ölçüde zorlaşır.
Kuruluşlar, Teams yapılandırma dosyalarına ve şifreleme anahtarlarına erişimi izleyebilen uç nokta algılama ve yanıt (EDR) çözümlerini uygulamalıdır.
Güvenlik ekipleri ayrıca sıkı erişim kontrolleri uygulamalı, şüpheli Teams API etkinliğini izlemeli ve kullanıcıları cihazlarını ilk tehlikelerden koruma konusunda eğitmelidir.
Ayrıca Microsoft Teams kullanıcıları, bu saldırı için gereken ilk erişimi önlemek amacıyla sistemlerinin düzenli güvenlik güncellemeleri almasını sağlamalı ve çağdaş antivirüs çözümlerini çalıştırmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.