GitHub’da, saldırganlara Microsoft Teams’de yakın zamanda açıklanan bir güvenlik açığından yararlanma ve kötü amaçlı dosyaları bir kuruluştaki hedeflenen Teams kullanıcılarına otomatik olarak teslim etme yolu sunan yeni bir araç kullanıma sunuldu.
“TeamsPhisher” adlı araç, bir kuruluşun dahili Teams kullanıcıları ile harici Teams kullanıcıları veya kiracıları arasında iletişime izin verdiği ortamlarda çalışır. Saldırganların, yükleri oraya götürmek için geleneksel bir kimlik avı veya sosyal mühendislik dolandırıcılığına güvenmeden, doğrudan bir kurbanın gelen kutusuna teslim etmesine olanak tanır.
ABD Donanması’nın Kırmızı Ekibinin bir üyesi olan aracın geliştiricisi Alex Reid, GitHub’daki aracın açıklamasında, “TeamsPhisher’a bir ek, bir mesaj ve hedef Teams kullanıcılarının bir listesini verin” dedi. “Eki gönderenin Sharepoint’ine yükleyecek ve ardından hedefler listesinde yinelenecek.”
Tam Otomatik Siber Saldırı Akışları
TeamsPhisher, JUMPSEC Laboratuarlarındaki iki araştırmacının Microsoft Teams’deki bir güvenlik özelliğini aşmak için yakın zamanda açıkladığı bir tekniği kullanır. İşbirliği uygulaması, farklı kuruluşlardan Teams kullanıcıları arasında iletişime izin verirken, aralarında dosya paylaşımını engeller.
JUMPSEC araştırmacıları Max Corbridge ve Tom Ellson, Güvensiz Doğrudan Nesne Referansı (IDOR) tekniği olarak bilinen tekniği kullanarak bu kısıtlamayı aşmanın nispeten kolay bir yolunu buldular. Güvenlik sağlayıcısı Varonis’in yakın tarihli bir blog gönderisinde belirttiği gibi, “IDOR hataları, bir saldırganın bir veritabanı anahtarı, sorgu parametresi veya dosya adı gibi bir ‘doğrudan nesne referansını’ manipüle ederek bir Web uygulamasıyla kötü niyetli bir şekilde etkileşime girmesine olanak tanır.”
Corbridge ve Ellson, yalnızca bir POST isteği gönderirken dahili ve harici alıcının kimliğini değiştirerek Teams’deki bir IDOR sorunundan yararlanabileceklerini keşfettiler. İki araştırmacı, bir yük bu şekilde gönderildiğinde, yükün gönderenin SharePoint etki alanında barındırıldığını ve kurbanın Ekibinin gelen kutusuna ulaştığını keşfetti. Corbridge ve Ellson, güvenlik açığının Teams’i varsayılan bir yapılandırmada çalıştıran her kuruluşu etkilediğini belirledi ve bunu bir saldırganın kimlik avı önleme mekanizmalarını ve diğer güvenlik denetimlerini atlamak için kullanabileceği bir şey olarak tanımladı. Microsoft sorunu kabul etti, ancak acil düzeltmeyi hak etmeyen bir şey olarak değerlendirdi.
TeamsPhisher Çoklu Saldırı Tekniklerini Bir Araya Getirir
Reid, TeamsPhisher aracını JUMPSEC’in tekniklerinin yanı sıra bağımsız araştırmacı Andrea Santese’nin ilk erişimi için Microsoft Teams’den nasıl yararlanılacağına dair daha önceki bazı araştırmaları içerdiğini açıkladı. Ayrıca, Secure Systems Engineering GmbH’den bir araştırmacının daha önce GitHub’a yayınladığı Teams kullanıcılarını sıralamak için bir araç olan TeamsEnum’un tekniklerini de içerir.
Reid’e göre TeamsPhisher’ın çalışma şekli, önce bir hedef Teams kullanıcısını numaralandırmak ve kullanıcının harici iletiler alabildiğini doğrulamaktır. TeamsPhisher daha sonra hedef kullanıcıyla yeni bir ileti dizisi oluşturur. Reid, mesajın her zamanki “Kuruluşunuzun dışından biri size mesaj gönderdi, onu görüntülemek istediğinizden emin misiniz” açılış ekranı olmadan hedefin gelen kutusuna ulaşmasını sağlayan bir teknik kullanıyor.
“Gönderenimiz ile hedef arasında oluşturulan yeni ileti dizisi ile belirtilen mesaj, Sharepoint’teki ekin bağlantısıyla birlikte kullanıcıya gönderilecektir.” “Bu ilk mesaj gönderildikten sonra, oluşturulan ileti dizisi gönderenin Teams GUI’sinde görünür olacak ve gerekirse duruma göre manuel olarak etkileşim kurulabilir.”
Microsoft, TeamsPhisher’ın piyasaya sürülmesinin JUMPSEC’in bulduğu hatayı düzeltme konusundaki tutumunu değiştirip değiştirmediği konusunda yorum isteyen bir Karanlık Okuma isteğine hemen yanıt vermedi. JUMPSEC’in kendisi, Microsoft Teams kullanan kuruluşları, dahili Teams kullanıcıları ve harici kiracılar arasında iletişimi etkinleştirmek için herhangi bir iş ihtiyacı olup olmadığını gözden geçirmeye çağırdı.
Şirket, “Şu anda harici kiracılarla düzenli iletişim için Teams kullanmıyorsanız, güvenlik kontrollerinizi sıkılaştırın ve seçeneği tamamen kaldırın” tavsiyesinde bulundu.