Tier Zero Security’deki siber güvenlik araştırmacıları, Microsoft Teams çerez şifrelemesindeki kritik bir zayıflıktan yararlanarak saldırganların kullanıcı sohbet mesajlarını ve diğer hassas iletişimleri çalmasına olanak tanıyan özel bir Beacon Nesne Dosyası (BOF) aracı yayınladı.
Güvenlik açığı, Microsoft Teams’in modern Chromium tabanlı tarayıcılara kıyasla çerez şifrelemesini nasıl işlediğinden kaynaklanıyor.
Chrome ve Edge gibi çağdaş tarayıcılar, şifreleme anahtarlarını korumak için SYSTEM ayrıcalıklarıyla çalışan COM tabanlı bir IElevator hizmetini çağırırken, Microsoft Teams hâlâ mevcut kullanıcının Veri Koruma API’si (DPAPI) ana anahtarına güveniyor.
Bu daha zayıf koruma mekanizması, saldırganların yükseltilmiş yönetici ayrıcalıklarına ihtiyaç duymadan çerezlerin şifresini çözme fırsatı yaratır.
Microsoft Teams, uygulama içindeki tarayıcı içeriğini görüntülemek için Chromium tabanlı bir bileşen olan msedgewebview2.exe işlemini kullanır.
Kimlik doğrulamanın ardından Teams, çerezleri normal tarayıcılara benzer bir SQLite veritabanında saklar.
Ancak, bu çerezleri koruyan şifreleme anahtarına kullanıcının DPAPI ana anahtarı aracılığıyla erişilebilmesi, kullanıcı düzeyinde ayrıcalıklarla çalışan tehdit aktörlerinin çıkarılmasını önemli ölçüde kolaylaştırıyor.
Saldırı Nasıl Çalışır?
Yeni yayımlanan takımlar-cookies-bof aracı, mevcut Cookie-Monster-BOF çerçevesinin değiştirilmiş bir versiyonunu temsil ediyor ve özellikle Microsoft Teams’i hedeflemek için uyarlanmış.
Saldırı metodolojisi, BOF’un ms-teams.exe işlem bağlamı içinde çalıştırılmasını içerir; burada çerez dosyasına yönelik açık bir tanıtıcıyı muhafaza ederek web görünümü alt işlemini arar.
Araç daha sonra bu tanıtıcıyı çoğaltır, dosya içeriğini okur ve indirirken aynı zamanda geçerli kullanıcının DPAPI ana anahtarını kullanarak tanımlama bilgisi şifreleme anahtarının şifresini çözer.
Araştırmacılar, Teams uygulaması çalışırken çerez dosyasının kilitli kalması nedeniyle önceki Teams çerez hırsızlığı girişimlerinin sınırlamalarla karşı karşıya kaldığını keşfetti.
Yeni BOF yaklaşımı, DLL veya COM ele geçirme gibi teknikler yoluyla sürecin kendisinde çalışarak bu engeli aşıyor ve Teams sürecini tamamen öldürme ihtiyacını ortadan kaldırıyor.
Saldırganlar şifresi çözülmüş tanımlama bilgilerini aldıktan sonra Teams, Skype ve Microsoft Graph API’leriyle etkileşime izin veren kimlik doğrulama belirteçlerine erişim kazanırlar.
Bu erişim, tehdit aktörlerinin mevcut Teams mesajlarını okumasına, kurbanın kimliğine bürünerek yeni mesajlar göndermesine ve potansiyel olarak kullanıcının kapsamı içindeki diğer Microsoft 365 kaynaklarına erişmesine olanak tanır.
Çalınan tokenlar, Microsoft ekosistemindeki saldırı yüzeyini genişletmek için GraphSpy gibi istismar sonrası araçlarla kullanılabilir.
Şifre çözme metodolojisi, orijinal Cookie-Monster-BOF aracıyla aynı kalır ve BOF dosyalarını çalıştırabilen herhangi bir Komuta ve Kontrol (C2) çerçevesini destekler.
Bu uyumluluk, tekniğin çeşitli tehdit aktörleri ve kırmızı ekip operatörleri tarafından kolayca benimsenmesini sağlar.
Microsoft Teams kullanan kuruluşlar, olağandışı süreç davranışlarını izleyebilen, çoğaltma etkinliklerini ve Teams tanımlama bilgisi veritabanlarına yetkisiz erişim girişimlerini yönetebilen uç nokta algılama ve yanıt çözümleri uygulamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.