Kırmızı ekip üyelerinden biri olan ABD Donanması geçtiğimiz günlerde serbest bırakıldı. “EkiplerPhisher” harici kiracılardan gelen dosya kısıtlamalarını atlamak için düzeltilmemiş Microsoft Teams güvenlik açığından yararlanan bir araç.
Bu yeni araç, saldırganların kötü amaçlı dosyaları belirli bir kuruluşun Teams kullanıcılarına otomatik olarak teslim etmesine olanak tanır ve şu anda GitHub’da kullanılabilir.
.png
)
Bir POST isteğinde kimlik değiştirilerek, uygulamanın istemci tarafı korumaları aldatılabilir, bu da harici kullanıcıların dahili olarak algılanmasını sağlayarak bunu mümkün kılar.
Bu araç, dahili ve harici Teams kullanıcıları arasında iletişime izin veren ortamlarda sorunsuz bir şekilde çalışır.
Saldırganlar, aşağıdakiler gibi geleneksel taktiklere olan ihtiyacı atlayarak, yükleri doğrudan bir kurbanın gelen kutusuna teslim etmek için bu araçtan yararlanır: –
TeamsPhisher, tamamen Python programlama dilini temel alan ve temel olarak operatöre otomatik saldırılar gerçekleştirme yeteneği vermek için tasarlanmış bir Python3 programıdır.
Jumpsec araştırmacılarının saldırı konseptini, Andrea Santese’nin tekniklerini ve Bastian Kanbach’ın ‘TeamsEnum’ aracının kimlik doğrulama/yardımcı işlevlerini bir araya getirerek; benzersiz bir yaklaşımı bütünleştirir.
JUMPSEC’teki siber güvenlik araştırmacıları Max Corbridge ve Tom Ellson, “IDOR” tekniği olarak adlandırılan basit bir çözüm keşfettiler.
Bir güvenlik satıcısı olan Varonis, IDOR’un potansiyelini ve bunun saldırganlara aşağıdakiler gibi doğrudan nesne referansları yoluyla web uygulamalarını manipüle etme yetkisini nasıl verdiğini vurguladı: –
- Veritabanı anahtarı
- Sorgu parametresi
- Dosya adı
Saldırıya devam etmeden önce TeamsPhisher, hedef kullanıcının varlığını ve çok önemli bir önkoşul olan harici mesajları alma kapasitelerini doğrular.
Ardından, hedefle birlikte yeni bir ileti dizisi oluşturur ve ardından kendisi tarafından bir Sharepoint ek bağlantısı içeren bir ileti gönderilir.
TeamsPhisher’ın başarılı bir şekilde kullanılması için, kullanıcılar için geçerli bir Teams ve Sharepoint lisansı zorunludur, bu lisans genellikle Microsoft Business hesabında bulunur (MFA destekli), bu çok sayıda önde gelen kuruluşta yaygın bir gerekliliktir.
Araç, hedef listesi doğrulaması ve mesaj görünüm kontrolü için “önizleme modu” içerir. TeamsPhisher’daki ek özellikler ve isteğe bağlı bağımsız değişkenler, saldırıyı aşağıdaki yeteneklerle geliştirir: –
- Yalnızca amaçlanan alıcı için güvenli dosya bağlantıları
- Hız sınırlamasını baypas etmek için iletim gecikmesi
- Günlük dosyası çıktısı
Microsoft’un Jumpsec araştırmacıları tarafından bilgilendirilmesine rağmen, TeamsPhisher tarafından istismar edilen sorun, Microsoft’un sabitleme kriterleri için hemen uygun olmadığını doğruladığı için çözülmedi.
Başlangıçta bu araç yetkili kırmızı ekip operasyonları için tasarlanmış olsa da, TeamsPhisher tehdit aktörleri tarafından hedef kuruluşlara kötü amaçlı yazılım göndermek için kullanılabilir ve tespit edilmeden gizlice kaçabilir.
Ayrıca, Microsoft’un herhangi bir eyleminin olmaması durumunda, kuruluşların gerekli olmadıkça harici kiracı iletişimini devre dışı bırakması önemle tavsiye edilir.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.