JUMPSEC araştırmacıları, testleri sırasında Microsoft Teams’in güvenlik mekanizmasını kandırarak, harici bir kullanıcının dahili olduğunu düşündürerek kuruluşun gelen kutusuna kötü amaçlı yazılım göndermeyi başardı.
JUMPSEC’in Red Team üyeleri, Max Corbridge ve Tom Ellson, Microsoft Teams’in Harici Kiracılar özelliğinde, kötü amaçlı yazılımların bir kuruluşun çalışanlarına doğrudan iletilmesine izin veren bir güvenlik açığı keşfettiler. Saldırganlar, Microsoft Teams’in varsayılan yapılandırmalarını kullanan herhangi bir sisteme kötü amaçlı yazılım enjekte edebilir ve neredeyse tüm geleneksel yük taşıma güvenlik önlemlerini atlamak için kusurdan yararlanabilir.
280 milyondan fazla kullanıcısı olan Microsoft Teams, dünya çapında işletmeler tarafından yaygın olarak kullanılıyor ve COVID-19’dan önce Fortune 1000 kuruluşlarından 91’i Teams’e güveniyordu. Bu güvenlik açığı, tüm bu işletmeleri savunmasız hale getirir.
Birçok kuruluş, Microsoft 365 kullanıcılarının (harici kiracılar) MS Teams aracılığıyla hizmet sağlayıcılar, üçüncü taraflar ve diğer kuruluşların çalışanlarıyla iletişim kurmasını sağlamak için izin verilen güvenlik denetimlerine izin verir. Bir kiracının kullanıcıları, başka bir kiracının kullanıcıları ile mesaj alışverişi yapabilir.
Ancak bu kiracılar, istemci tarafı güvenlik denetimleri atlanmadıkça varsayılan olarak dahili kullanıcılara dosya gönderemez. Bu güvenlik açığı, tehdit aktörlerinin istemci tarafındaki güvenlik denetimlerini atlamasına ve çalışanların MS Teams gelen kutularına kötü amaçlı yazılım göndermesine olanak tanır. İleti, Harici bir başlıkla birlikte görünür, ancak bazı kullanıcılar yine de kandırılarak iletiye tıklayabilir.
Corbridge ve Ellson, hem dahili hem de harici alıcılar için bir mesajın POST isteği özelliğindeki alıcı kimliğini değiştirerek kusurdan yararlandı. Bu, harici bir kullanıcıyı dahili olarak etiketlemek için sistemi kandırmalarına izin verdi. Ardından araştırmacılar, hedeflenen kuruluşların gelen kutusuna bir C2 yükünü başarıyla sızdı.
Araştırmacılar bir blog gönderisinde, “Güvenlik açığından yararlanma, POST isteğinde dahili ve harici alıcı kimliğini değiştirmeye yönelik geleneksel bir IDOR tekniği kullanılarak basitti” diye yazdı.
Araştırmacılar ayrıca, hedeflerinin Microsoft 365’ine benzer bir etki alanını kaydettirirlerse, hedefin herhangi bir suç işlediğinden şüphelenmeden onu indirme olasılığını artırarak dahili görünen iletiler oluşturabileceklerini keşfettiler. Bunu yapmak için, hedef şirketlerinin bilinen üyelerinin adreslerini taklit eden bir e-posta kimliği kullanmaları gerekir.
Corbridge, “Bu güvenlik açığı Teams aracılığıyla sosyal mühendislikle birleştirildiğinde, ileri geri bir konuşma başlatmak, bir aramaya atlamak, ekranları paylaşmak ve daha fazlası çok kolay hale geliyor” dedi.
Tüm kimlik avına karşı güvenlik mekanizmalarını, özellikle de e-postalara bağlı olanları atlayabildiği için benzersizdir. Çalışanlar, istenmeyen e-postaları görmezden gelse de, Teams Kimlikleri aracılığıyla gönderilen e-postalardan şüphelenmezler.
Microsoft kusur hakkında bilgilendirildi ve teknoloji devi bunu kabul etti. Ancak, bu sorun acil müdahale eşiğini karşılamadı. Bu nedenle, şirketin bu sorunu çözmesi biraz zaman alabilir.
Bu sorun çözülene kadar, harici kullanıcılarla iletişim kurmak için Microsoft Teams’e güvenen kuruluşlar, Microsoft Teams Yönetim Merkezini açarak ve harici yönetilmeyen Ekip kullanıcılarıyla sohbet seçeneğini devre dışı bırakarak Harici Erişim özelliğini devre dışı bırakmalıdır.
Harici iletişim kanallarını etkilemeden istismarı önlemek için istenen etki alanları için bir izin verilenler listesi de oluşturabilirsiniz.
ALAKALI HABERLER
- Zoom Kimlik Avı Dolandırıcılığı Microsoft Exchange Kimlik Bilgilerini Çalıyor
- Kötü Amaçlı Yazılım Saldırılarında Microsoft Office En Çok Yararlanan Yazılımlar
- Microsoft Office 365’te Veri Kaybını Azaltmak için 10 Güvenlik İpucu
- Kusur, Microsoft Teams hesabının bir GIF ile ele geçirilmesine izin verdi
- Kimlik Avı Saldırılarında Microsoft Team GIF’lerinden Yararlanan Dolandırıcılar