Güvenlik araştırmacıları, harici kaynaklardan gelen dosyalar için uygulamadaki kısıtlamalara rağmen Microsoft Teams ile bir kuruluşa kötü amaçlı yazılım dağıtmanın basit bir yolunu buldular.
Aylık 280 milyon aktif kullanıcısı olan Microsoft Teams, kuruluşlar tarafından Microsoft 365 bulut tabanlı hizmetlerin bir iletişim ve işbirliği platformu parçası olarak benimsenmiştir.
Ürünün çeşitli kuruluşlar nezdindeki popülaritesi dikkate alındığında, Max Corbridge Ve Tom Ellison – Birleşik Krallık merkezli güvenlik hizmetleri şirketi Jumpsec’teki Kırmızı Ekip üyeleri, ortalığı karıştırdı ve hedef kuruluş dışından bir hesapla Microsoft Teams kullanarak kötü amaçlı yazılım dağıtmanın bir yolunu keşfetti.
Saldırı ayrıntıları
Saldırı, genellikle “harici kiracılar” olarak adlandırılan şirket dışındaki Microsoft Teams hesaplarıyla iletişime izin veren varsayılan yapılandırmayı çalıştıran Microsoft Teams ile çalışır.
Corbridge bir raporda, bu iletişim köprüsünün sosyal mühendislik ve kimlik avı saldırıları için yeterli olsa da, buldukları yöntemin, doğrudan bir hedef gelen kutusuna kötü amaçlı bir yük göndermeye izin verdiği için daha güçlü olduğunu açıklıyor.
Microsoft Teams, harici kiracı hesaplarından dosya teslimini engellemek için istemci tarafı korumalara sahiptir.
Bununla birlikte, iki Jumpsec Red Team üyesi, bir mesajın POST isteğindeki dahili ve harici alıcı kimliğini değiştirerek kısıtlamayı aşabileceklerini ve böylece sistemi harici bir kullanıcıya dahili bir kullanıcıymış gibi davranması için kandırabileceklerini keşfettiler.
Araştırmacılar tekniği sahada test ettiler ve gizli bir kırmızı ekip angajmanının bir parçası olarak bir hedef kuruluşun gelen kutusuna bir komuta ve kontrol yükünü başarılı bir şekilde teslim edebildiler.
Bu saldırı, mevcut güvenlik önlemlerini ve kimlik avına karşı eğitim tavsiyelerini atlayarak, saldırganlara Microsoft Teams’i varsayılan yapılandırmasıyla herhangi bir kuruluşa bulaştırmanın oldukça kolay bir yolunu sunar.
Ayrıca, saldırgan Microsoft 365’te hedef kuruluşlara benzer bir etki alanı kaydederse, iletileri harici bir kiracıdan değil kuruluş içindeki birinden geliyormuş gibi görünebilir ve böylece hedefin dosyayı indirme olasılığı artar. .
Microsoft’un yanıtı
Araştırmacılar, etkinin teknoloji devinin anında yanıt vermesini garanti edecek kadar önemli olduğunu varsayarak bulgularını Microsoft’a bildirdi.
Microsoft, kusurun varlığını doğrulasa da, yanıt “anında servis için çıtayı karşılamıyor” oldu, bu da şirketin hatayı düzeltmede aciliyet görmediği anlamına geliyordu.
BleepingComputer, sorunu ne zaman çözmeyi planladıklarını ve ciddiyetinin yeniden değerlendirilip değerlendirilmediğini sormak için Microsoft ile de iletişime geçti, ancak yayımlama tarihine kadar bir yanıt almadık.
Microsoft Teams kullanan ve harici kiracılarla düzenli iletişim sürdürmesi gerekmeyen kuruluşlar için önerilen eylem, bu özelliği “Microsoft Teams Yönetim Merkezi > Dış Erişim”den devre dışı bırakmaktır.
Harici iletişim kanallarının sürdürülmesi gerekiyorsa kuruluşlar, istismar riskini azaltmak için bir izin verilenler listesinde belirli etki alanlarını tanımlayabilir.
Jumpsec’in araştırmacıları ayrıca, yazılımın günlüğüne kiracıyla ilgili harici olayların eklenmesi için bir talep gönderdiler; bu, saldırılar ortaya çıktıkça önlenmesine yardımcı olabilir; bu nedenle, Microsoft’u harekete geçmesi için zorlamaya katkıda bulunmak istiyorsanız bunu oylayın.