Araştırmacılar, Microsoft Teams’in en son sürümündeki bir hatanın, uygulamanın genellikle bu tür etkinlikleri engellemesine rağmen, harici kaynakların bir kuruluşun çalışanlarına dosya göndermesine izin verdiğini buldu. Bu, tehdit aktörlerine, hedef kuruluşlara kötü amaçlı yazılım dağıtmak için karmaşık ve pahalı kimlik avı kampanyalarına bir alternatif sunar – ancak Microsoft bunu bir öncelik olarak ele almayacaktır.
JUMPSEC Labs Red Team’den araştırmacılar Max Corbridge (@CorbridgeMax) ve Tom Ellson (@tde_sec), kötü amaçlı yazılımları bir kuruluşun çalışanlarına gönderilen dosyalara kaydırmak için Microsoft Teams Harici Kiracılar özelliğinden yararlanmanın bir yolunu keşfettiler ve böylece neredeyse tüm modern kimlik avına karşı korumayı atladılar korumalar, bu hafta yayınlanan bir blog gönderisinde ortaya çıktı.
Corbridge, gönderisinde “Bu güvenlik açığı, Teams’i varsayılan yapılandırmada kullanan her kuruluşu etkiliyor” diye yazdı. “Bu haliyle, büyük bir erişim potansiyeline sahip ve tehdit aktörleri tarafından birçok geleneksel yük taşıma güvenlik kontrolünü atlatmak için kullanılabilir.”
Microsoft finansal verilerine göre Teams, Microsoft’un yaygın olarak kullanılan barındırılan mesajlaşma ve dosya paylaşım uygulamasıdır ve Fortune 100 kuruluşlarının tahmini %91’i tarafından Covid-19 salgınından önce zaten kullanılmıştır. Pandemi sırasında, birçok kuruluş uzak iş gücüyle iletişim kurmak ve işbirliği yapmak için Teams’e güvenmeye başlayınca Teams’in kullanımı daha da genişledi.
Araştırmacılar, Teams’in tipik olarak aynı kuruluş içindeki çalışanlar arasındaki iletişim için kullanılmasına rağmen, Microsoft’un ekipler için varsayılan yapılandırmasının, şirket dışındaki kullanıcıların çalışanlarına ulaşmasına izin verdiğini söyledi. Tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için uygulamadan yararlanma fırsatının ortaya çıktığı yer burasıdır, dediler.
Araştırmacılar, bunun, harici kiracıların -bu durumda kötü niyetli olabilecek- dosyaları dahili kullanıcılara göndermesini önleyen istemci tarafı güvenlik denetimlerini atlayarak yapılabileceğini açıkladı.
Microsoft Teams Exploit Nasıl Çalışır?
Araştırmacılar, güvenlik açığının, herhangi bir Microsoft Teams’in bir Microsoft hesabı olan kullanıcının “harici kiracılar” olarak adlandırılanlara ulaşmasına izin vermesine izin veren bir yetenekte yattığını açıkladı. Bu durumda, bu kiracılıklar, her birinin kendi kiracılığı olan Microsoft ekiplerini kullanan herhangi bir işletme veya kuruluş olacaktır.
Corbridge, “Bir kiracının kullanıcıları başka bir kiracıdaki kullanıcılara mesaj gönderebilir” dedi. “Bunu yaparken, adın yanında bir ‘Harici’ başlığı görünür.”
Bazı çalışanlar harici bir kaynaktan gelen bir iletiye tıklayamasa da çoğu kişi tıklar, Corbridge’in söylediğine göre bu, araştırmacıların bir müşterinin ortamında bir ilk dayanak noktası elde etmeyi amaçlayan kırmızı ekip taahhüdünün bir parçası olduğunu zaten kanıtladı.
Gönderide, “Bu, özellikle kötü niyetli taraf kuruluşunuzun bilinen bir üyesinin kimliğine bürünüyorsa ve kırmızı ekiplerin sıklıkla yaptığı gibi bir marka kimliğine bürünme alanı satın alıp kaydettirmişse geçerlidir.”
Teams’deki harici kiracıların, tek bir kuruluştaki veya kiracılıktaki çalışanlar arasında dosya gönderme yeteneklerinin aksine, başka bir kuruluştaki personele dosya göndermeleri engellenmiş olsa da, Corbridge kendisinin ve JUMPSEC’in saldırı güvenliği başkanı Tom Ellson’ın bu kontrolü 10 dakika içinde atlayabildiklerini söyledi. dakika.
Corbridge, gönderide “Güvenlik açığından yararlanma, POST isteğinde dahili ve harici alıcı kimliğini değiştirmeye yönelik geleneksel bir IDOR tekniği kullanılarak basitti” dedi. “Yük bu şekilde gönderilirken, aslında bir SharePoint etki alanında barındırılıyor ve hedef onu oradan indiriyor. Ancak, hedef gelen kutusunda bir bağlantı olarak değil, bir dosya olarak görünüyor.”
Araştırmacılar, geçen ay bir kırmızı ekip tatbikatı sırasında tekniklerini olgun bir müşteri ortamında test ettiler ve bunun “geleneksel kimlik avı yolculuklarından çok daha basit, güvenilir ve kullanıcı dostu bir yük teslim yoluna izin verdiğini” doğruladılar.
Tehlikeli ve Etkili Bir İşbirliği Uygulama Hatası
Hata, tehdit aktörleri için “potansiyel olarak kazançlı bir yol” sağlıyor çünkü kötü amaçlı bağlantılar veya dosyalar içeren sosyal olarak tasarlanmış e-posta iletileri oluşturmaya gerek kalmadan kuruluşlara kötü amaçlı yazılımları teslim etmenin ne kadar kolay olduğu ve çalışanların yemi yutup onlara tıklamalarını ummadıkları için. , Corbridge yazdı.
Tehdit aktörleri, bir hedef kuruluşunkine benzer bir etki alanını kolayca satın alabilir ve Microsoft 365’e kaydedebilir, böylece meşru bir Teams kiracılığı kurabilir ve karmaşık kimlik avı altyapısı oluşturmak zorunda kalmadan hata yapmak için kimlik avı taktiklerini zaten bilen çalışanlara güvenebilir. söz konusu.
Kusurdan yararlanılarak, kötü amaçlı bir yük, güvenilir bir Sharepoint etki alanı aracılığıyla hedefin Teams gelen kutusunda bir dosya olarak sunulur. Corbridge, “Bu nedenle, yük, kötü niyetli bir kimlik avı web sitesi değil, Sharepoint’in güven itibarını devralır” diye yazdı.
Tehdit aktörleri, sosyal mühendisliği bile kullanabilir ve bir çalışanla bir konuşma başlatabilir, bu da bir Teams çağrısına katılmaya, ekranların paylaşılmasına ve daha fazlasına yol açarak daha da alçakça faaliyetler gerçekleştirmelerine ve hatta yükü kendilerinin teslim etmesine olanak tanır, diye ekledi. .
Yama Gelmiyor: Azaltmalar ve Korumalar
Corbridge, araştırmacıların meşruiyetini doğrulayan ancak “anında hizmet için çıtayı karşılamadığını” söyleyen güvenlik açığını Microsoft’a bildirdi.
Kuruluşlar, hatayı kendileri azaltmak için, harici kiracıların personele mesaj gönderme iznine sahip olması için bir iş gereksinimi olup olmadığını gözden geçirebilir ve durum böyle değilse Microsoft Teams Yönetici Merkezi > Dış Erişim’de bunu yapma seçeneğini kaldırabilir.
Araştırmacılar, bir kuruluş harici kiracılarla iletişim gerektiriyorsa ancak çalışanların düzenli olarak iletişim kurduğu yalnızca bir avuç kuruluşa sahipse, yöneticilerin Ekip güvenlik ayarlarını yalnızca izin verilenler listesindeki belirli alan adlarıyla iletişime izin verecek şekilde değiştirmek için bu alanı kullanabileceğini söyledi.
Bu hafifletme seçeneklerinden hiçbiri bir kuruluş için uygun değilse, yöneticiler, kendilerine yardımcı olmak için e-posta mesajlarında bulunanlara benzer sosyal mühendislik kampanyaları başlatmak için Teams, Slack, Sharepoint ve diğerleri gibi üretkenlik uygulamalarının olasılığı konusunda personeli eğitmeyi deneyebilir. uzlaşmadan kaçının.
Corbridge, kuruluşların ayrıca harici mesaj isteklerini kabul eden personel üyelerine ilişkin uyarılar veya en azından temel görünürlük sağlamak için Web proxy günlüklerini kullanabileceğini de sözlerine ekledi.
“Şu anda zorluk, bunu kullanıcı adları ve söz konusu mesajla yararlı bir telemetri parçasına dönüştürmektir”, ancak bu işlemin potansiyel hafifletme için bir kuruluş içinde ne kadar yaygın olduğuna dair bir fikir sağlayabileceğini kabul etti.