Microsoft Teams’deki varsayılan ayarlara güvenmek, kullanıcıları harici etki alanlarından gelen tehditlere açık bırakır. Yanlış yapılandırma, yüksek değerli hedefler için tehlikeli olabilir.
Microsoft Teams’in ABD, İngiltere, Hollanda, Almanya, Litvanya ve diğer ülkelerde farklı düzeylerde yazılımı kullanan devlet kurumlarıyla birlikte 270 milyonun üzerinde aktif aylık kullanıcısı vardır.
Siber güvenlik araştırmacısı Darius Povilaitis, varsayılan MS Teams ayarlarına güvenmenin yüksek değerli kullanıcıları sosyal mühendislik saldırılarına karşı savunmasız bırakabileceğini keşfetti. Saldırganlar, patronları gibi davranarak ve çevrimiçi olup olmadıklarını gözlemleyerek devlet yetkilileriyle grup sohbetleri oluşturabilir.
“Saldırganların oldukça inandırıcı bir şekilde üst düzey bir devlet yetkilisini taklit edebileceğini ve muhtemelen bir sohbet başlatarak kurbanları hassas konuları bir üstleriyle tartıştıklarına inandırabileceklerini gördük. Povilaitis Cybernews’e verdiği demeçte, yetenekli saldırganlar bu yetenekle çok fazla zarar verebilir.
“>
kandırmak kolay
Kavram kanıtı için, Povilaitis ekibi fikri Litvanya parlamentosunun Ulusal Güvenlik ve Savunma Komitesi (CNSD) üyeleri üzerinde test etti. Rusya ve Rusya ile uyumlu Beyaz Rusya sınırındaki Litvanya, son zamanlarda Ukrayna’ya verdiği destek nedeniyle Killnet gibi tehdit aktörleri tarafından hedef alındı.
Araştırmacılar, hesaplarına Litvanya Başbakanı Ingrida Šimonytė ile aynı adı vermek için MS Teams’i kullandılar. Ardından, CNSD üyelerinin e-posta adreslerini arama çubuğuna yapıştırarak ve hepsini tek bir sohbet grubuna ekleyerek MS Team arama aracını kullandılar.
Araştırmacılar sohbeti oluşturmaya devam ederse, konuşmadaki milletvekilleri bunun “Ingrida Šimonytė (harici)” tarafından oluşturulduğunu göreceklerdi. Bunun nedeni, Litvanya’nın yasama ve yürütme organlarının farklı alan adları kullanmasıdır: sırasıyla lrs.lt ve lrv.lt.
Gerçek Başbakan bir grup sohbeti oluştursaydı, üyeleri de aynı şeye tanık olurdu: bir ad ve soyadın ardından “dış” kelimesi. Hassas bilgilerle çalışan milletvekilleri, bu bilgileri paylaşmama konusunda dikkatli olmak üzere eğitilirken, daha az dikkatli olan kişiler, yanlışlıkla başka bir üst düzey yetkiliyle görüştüklerini düşünerek önemli verileri yanlışlıkla ifşa edebilirler.
Varsayılan tehlikeler
Litvanya Ulusal Siber Güvenlik Merkezi’nden (NCSC) gelen bir tavsiyeye göre, sorunun devlet kurumlarının MS Ekiplerinde harici erişim için varsayılan veya varsayılana yakın ayarlara dayanmasından kaynaklandığı öğrenildi.
NCSC, varsayılan ayarların, yetkililerin adlarını ve soyadlarını bilen üçüncü tarafların programı kullanıp kullanmadıklarını keşfetmelerine ve doğrudan mesajlar ve dosyalar göndermelerine izin verdiğini iddia ediyor. İşletmeler için MS Teams planını kullananlar, hedeflenen yetkilinin çevrimiçi olup olmadığını da görebilirler.
“Teams uygulamasında herhangi birinin kimliğine bürünmek kolaydır ve personel, üçüncü taraf yazısının kimliğini hızlı bir şekilde doğrulamayı zor bulabilir. Bu işlevsellik, sosyal mühendislik saldırılarına olanak tanır. NCSC, bunun kuruluşların güvenliği için ciddi bir tehdit oluşturduğunu değerlendiriyor” uyarısında bulunuyor.
Ayrıca, Litvanya’nın kurumlarına yönelik artan sayıda siber saldırıya karşı direndiğini de kaydetti. Bu nedenle, kuruluşların MS Teams’in harici erişim ayarını yalnızca belirli harici etki alanlarına sahip kullanıcıların yetkililerle iletişim kurmasına izin verecek şekilde değiştirmeleri önerilir.
NCSC temsilcisi Cybernews’e MS Team ayarlarıyla ilgili hiçbir ihlalin ortaya çıkmadığını söyledi.
Cybernews, yorum için Microsoft ile iletişime geçti, ancak yayın sırasında herhangi bir yanıt alınmadı.
“Kullanıcılar e-postadan ayrıldıktan sonra genellikle daha az uyanık oluyorlar, çünkü doğal olarak sohbet kanallarına daha çok güveniyorlar ve onları ‘dahili’ araçlar olarak görüyorlar. Bu güven onları kolay hedefler haline getirebilir.”
SafeGuard Cyber’in başkanı ve CTO’su Otavio Freire, şunları söyledi:
Mükemmel suç
SafeGuard Cyber başkanı ve CTO’su Otavio Freire, yapılandırma hatalarının herhangi bir işbirliği platformunda risk oluşturduğunu ve ihlallerin gelir kaybına ve sırların sızdırılmasına neden olabileceğini söylüyor.
MS Teams kullanan yetkililer, işbirliği platformları aracılığıyla elde edilen istihbarat, normal e-posta tabanlı kimlik avı yoluyla elde edilenden daha değerli olabileceğinden, tehdit aktörleri için özellikle ilgi çekicidir.
“Kullanıcılar, sohbet kanallarına doğal olarak daha fazla güvendikleri ve onları ‘dahili’ araçlar olarak gördükleri için, e-postadan ayrıldıktan sonra genellikle daha az uyanık oluyorlar. Freire Cybernews’e verdiği demeçte, bu güven onları kolay hedefler haline getirebilir.
Platformlar iletişimi kolaylaştırmak için tasarlandığından, taklitçileri nadiren işaretlerler ve her durumda, çoğu zaman, bağlantı ve dosya paylaşan kullanıcıların olası kötü niyetli niyetini belirtme araçlarına sahip değildirler.
Freire, “Daha fazla ilgili senaryolardan biri, bir saldırganın bunu gizli bilgiler elde etmek veya varlıklara erişim sağlamak ve ayrıca kimlik bilgilerini çalmak veya bir devlet cihazına bulaşmak için araçları dağıtmak için kullanabileceği” dedi.
Risklerden kaçınmak için, güvenlik ekiplerine erişim için temel gereksinimleri belirlemeleri ve platformların gereksinimlerle uyumlu olduğundan emin olmak için sistem yapılandırması üzerinde kontroller çalıştırmaları önerilir.
Kullanıcılar ayrıca, iletişim platformlarının oluşturabileceği risklerin farkında olmak ve bulut tabanlı iletişim kanallarına sıfır güven ilkelerini uygulamak için eğitilmelidir.
radarda
Geçen ay, Killnet kolektifi olarak bilinen Kremlin’e sadık tehdit aktörleri, ülkeyi Rusya’ya karşı AB düzeyinde yaptırımları kaldırmaya zorlamak amacıyla Litvanya devlet kurumlarına ve özel işletmelere karşı dağıtılmış hizmet reddi (DDoS) saldırıları başlattı.
Killnet, Telegram hesabında Litvanya’nın malların Rus dış bölgesi Kaliningrad’a geçişine izin vermesini talep eden bir video mesajı yayınladı ve uymadığı takdirde Baltık ulusuna saldırmakla tehdit etti.
O sırada, NCSC’nin siber güvenlik başkanı Jonas Skardinskas, ulaşım, enerji ve finans sektörlerinin saldırıların ağırlığını hissedeceği konusunda uyardı.
Rusya’nın Ukrayna’yı işgali, uzmanların siber savaş dediği şeyi ateşlediği için, son aylarda Avrupa’daki çeşitli devlet kurumlarına karşı bir siber saldırı dalgası görüldü.
Cybernews’den daha fazlası:
Uzman, Google’ın yeni uygulama güvenliği politikasının kümesteki tilkiye benzediğini söylüyor
Rusya’nın devlet bilgisayar korsanları, kötü niyetli Android uygulamalarıyla Ukrayna’yı hedef alıyor
‘Cyber-merc’ kıyafeti polis içeriden olduğunu iddia ediyor
Lapsus$’ın mirası: yeni gasp çeteleri yükselişte
Avrupa Komisyonu, oluşturduğu veri koruma yasalarını ihlal ettiği için dava açtı
Abone olmak bültenimize