Kötü amaçlı yazılımların harici saldırganlardan çalışanların Microsoft Teams gelen kutusuna gönderilmesini otomatikleştiren bir araç yayınlandı.
TeamsPhisher (Kaynak: Alex Reid)
İstismar edilen güvenlik açığı hakkında
Jumpsec araştırmacıları Max Corbridge ve Tom Ellson tarafından belirtildiği gibi, Microsoft Teams’in varsayılan yapılandırması, harici kiracıların (ör. kuruluş dışındaki M365 kullanıcıları) bir kuruluşun çalışanlarına mesaj göndermesine olanak tanır.
Araştırmacılar, aynı yapılandırmanın harici kiracıların dosya göndermesine izin vermediğini, ancak POST isteğinde dahili ve harici alıcı kimliğini değiştirerek bu kısıtlamanın atlanabileceğini buldu.
Corbridge, “Bu güvenlik açığı Teams aracılığıyla sosyal mühendislikle birleştirildiğinde, ileri geri bir görüşme başlatmak, bir aramaya atlamak, ekranları paylaşmak ve daha fazlası çok kolay hale geliyor” dedi.
Microsoft, başarılı bir sömürü sosyal mühendisliğe bağlı olduğundan, kusurun “anında hizmet için çıtayı karşılamadığını” söylüyor.
TeamsPhisher Hakkında
TeamsPhisher, saldırganların (yetkili olsun ya da olmasın) Microsoft Teams kullanıcılarına ekleri teslim etmesine izin veren, ABD Donanması okuma ekibi üyesi Alex Reid tarafından oluşturulan Python tabanlı bir araçtır.
TeamsPhisher, Teams web isteklerini işlemek için Corbridge ve Ellson’ın tekniğini, okuma ekibi üyesi Andrea Santese tarafından açıklanan önceki teknikleri birleştirir ve mevcut Microsoft Teams kullanıcılarını bulmak için TeamsEnum Python komut dosyasını (Secure Systems Engineering güvenlik danışmanı Bastian Kanbach tarafından) kullanır.
“TeamsPhisher, kullanıcıların geçerli bir Teams ve Sharepoint lisansı olan bir Microsoft Business hesabına sahip olmasını gerektirir (kişisel hesabın aksine, örneğin @hotmail, @outlook, vb.). Bu, bir AAD kiracısına ve ilgili lisansa sahip en az bir kullanıcıya ihtiyacınız olacağı anlamına gelir. Reid, yayınlandığı tarihte, AAD lisans merkezinde bu aracın gereksinimlerini karşılayan bazı ücretsiz deneme lisansları bulunmaktadır.
Aracı kullanmak kolaydır: Okuyan ekip üyesi / saldırgan, kötü niyetli eki, bir iletiyi ve hedef Teams kullanıcılarının bir listesini sağlar. Ek, gönderenin Sharepoint’ine yüklenir.
TeamsPhisher hedef kullanıcıyı bulur, ardından hedefin e-postasını iki kez ekleyerek yeni bir grup sohbeti oluşturur.
TeamsPhisher aracılığıyla gönderilen kimlik avı e-postası – Hedefin bakış açısından (Kaynak: Alex Reid)
“Gönderenimiz ile hedef arasında oluşturulan yeni ileti dizisi ile belirtilen mesaj, Sharepoint’teki ekin bağlantısıyla birlikte kullanıcıya gönderilecek” dedi.
Araç ayrıca, eki Sharepoint’te görüntülemek için hedeflerin kimlik doğrulamasını yapma seçeneğine de sahiptir; bu, hedefi bunu yapmaya ikna edebilecek bir adımdır.
Kusur düzeltilene kadar ne yapılmalı?
Reid, kuruluşların Microsoft Teams yönetici merkezi aracılığıyla dış erişimle ilgili seçenekleri yöneterek bu güvenlik açığının oluşturduğu riski azaltabileceklerine dikkat çekti. “Microsoft, evrensel bir blok ve iletişim için yalnızca belirli harici kiracıları beyaz listeye alma dahil olmak üzere, kuruluşlara ihtiyaçlarına en uygun izinleri seçme esnekliği sağlıyor.”
Microsoft, müşterileri web sayfalarına giden bağlantılara tıklarken, bilinmeyen dosyaları açarken veya dosya aktarımlarını kabul ederken dikkatli olmaya çağırdı.