Uygulamayı aksatmadan Microsoft Teams’ten kimlik doğrulama tanımlama bilgilerini çıkarmak için tasarlanmış özel bir Beacon Nesne Dosyası (BOF).
Bu gelişme, Teams’in hassas erişim belirteçlerini nasıl sakladığını açığa çıkaran son bulgulara dayanıyor ve potansiyel olarak saldırganların kullanıcıların kimliğine bürünmesine ve sohbetlere, e-postalara ve belgelere erişmesine olanak tanıyor.
Tier Zero Security tarafından yayımlanan araç, Teams’in dosya kilitleme mekanizmalarını atlatmak için mevcut bir tarayıcı istismar tekniğini uyarlayarak kurumsal ortamlarda uç nokta güvenliğiyle ilgili yeni endişeleri artırıyor.
Yenilik, Teams’in kimlik doğrulama sürecinin ayrıntılı bir analizinden kaynaklanıyor. RandoriSec’in yakın tarihli bir araştırma gönderisinde belirtildiği gibi Microsoft Teams, Microsoft’un çevrimiçi hizmetleri aracılığıyla oturum açmayı yöneten Chromium tabanlı bir bileşen olan msedgewebview2.exe işlemini kullanarak bir tarayıcı penceresi yerleştirir.
Kimlik doğrulama sırasında bu işlem, çerezleri geleneksel web tarayıcılarına benzer şekilde bir SQLite veritabanına yazar.
Bu çerezler, Teams konuşmalarına, Skype özelliklerine ve hatta daha geniş Office 365 etkileşimleri için Microsoft Graph API’sine erişim sağlayan erişim belirteçleri içerir.
Ancak modern Chromium tarayıcıları savunmalarını güçlendirdi. Artık şifreleme anahtarlarını, SYSTEM ayrıcalıklarıyla çalışan COM tabanlı bir IElevator hizmeti aracılığıyla koruyorlar ve yürütülebilir dosyanın güvenli kurulum yolunu kontrol ederek arayanın meşruiyetini doğruluyorlar.
Bu kurulum, tarayıcı işlemi içinde yürütmeyi veya çerez değerlerinin şifresini çözmek için yükseltilmiş yönetici erişimini gerektirir.
Buna karşılık Teams, mevcut kullanıcının ana anahtarına bağlı daha basit Veri Koruma API’sine (DPAPI) güveniyor ve bu da şifreleme anahtarı alındıktan sonra çerezlerinin hedeflenmesini nispeten daha kolay hale getiriyor.
Process Injection ile Dosya Kilitlerinin Aşılması
Orijinal araştırmadaki önemli bir engel Teams’in çalışma zamanı davranışıydı: Uygulama, arka planda bile çalışırken Çerez veritabanı dosyasını kilitleyerek doğrudan okuma veya kopyalamayı engelliyor.
Gönderide önerildiği gibi MS-Teams.exe işleminin sonlandırılması, kullanıcıları uyaracak ve güvenlik izlemeyi tetikleyecektir.
Bu sorunu çözmek için araştırmacılar, dosya tanıtıcılarını çoğaltarak ve IElevator hizmetini çağırarak canlı tarayıcı süreçlerinden çerezleri ayıklayan açık kaynaklı bir araç olan Cookie-Monster-BOF’tan ilham aldılar.
Yeni Teams-Cookies-BOF, bu mantığı mesajlaşma uygulaması için yeniden kullanıyor. Teams’i sonlandırmak yerine, doğrudan ms-teams.exe işlemi içinde, muhtemelen DLL veya COM ele geçirme yoluyla, Cookies dosyasına açık tanıtıcılar tutan alt web görünümü işlemlerini tanımlamak için çalışır.
Bu tanıtıcıları çoğaltır, dosya içeriğini anında okur ve kullanıcının DPAPI ana anahtarını kullanarak değerlerin şifresini çözer. Araç, dosya sistemi kesintileri olmadan meşru süreç etkinliğini taklit ettiğinden bu yaklaşım gizliliği garanti eder.
Özellikle BOF’un esnekliği Teams enjeksiyonunun ötesine uzanıyor. İlgili çerezleri indirmek için sistem genelinde webview alt öğelerini sorgulayarak aynı kullanıcı ayrıcalıklarını paylaşan herhangi bir işlemde yürütülebilir.
Bu, uygulanabilirliğini genişletirken aynı zamanda ilgisiz süreçlerdeki olağandışı işleme işlemleri gibi tespit edilebilir göstergeleri de ortaya çıkarır.
Gösteri amacıyla araştırmacılar, tarafsız bir bağlamda benzer sonuçlar elde eden bir Gist komut dosyasını paylaştılar, ancak bu, Teams dışı çerezleri teminat olarak çekme riski taşıyor.
Kırmızı Takım Oyuncuları ve Savunmacılar İçin Çıkarımlar
Şifre çözme mekanizması, veritabanındaki “v10” etiketli değerlerden tek seferlik ve şifrelenmiş veriyi çıkardıktan sonra AES-256-GCM’yi kullanarak Cookie-Monster-BOF’u tam olarak yansıtır.
Tokenlar bir kez alındıktan sonra API çağrılarının kurbanlar adına konuşma geçmişlerini almasına, mesajları okumasına veya kimlik avı içeriği göndermesine olanak tanıyarak yanal hareket veya sosyal mühendislik kampanyalarındaki riskleri artırır.
Tier Zero Security, BOF’u Beacon veri yüklerini destekleyen herhangi bir C2 çerçevesiyle uyumlu olarak GitHub’da kamuya açık hale getirdi ve temel kullanım için hiçbir argüman gerektirmiyor.
Bu sürüm, Teams’in güvenlik modelinde, güçlendirilmiş tarayıcılarla karşılaştırıldığında kalıcı bir boşluğun altını çiziyor. Kuruluşlar, süreç enjeksiyonu için davranışsal izlemeye öncelik vermeli, en az ayrıcalıklı yürütmeyi uygulamalı ve DPAPI erişimlerini veya web görünümü işleme manipülasyonlarını hedefleyen uç nokta algılama kurallarını dikkate almalıdır.
Hibrit çalışma büyük ölçüde Teams’e dayandığından, bu tür güvenlik açıkları, üretkenlik uygulamalarındaki yerleşik tarayıcı bileşenlerinin sürekli olarak incelenmesi ihtiyacını vurgulamaktadır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
