È stato rilasciato uno strumento che automatizza la consegna di malware da aggressori di terze parti alle caselle di posta in arrivo dei dipendenti in Microsoft Teams.
TeamsPhisher (Fonte: Alex Reid)
Informazioni sulle vulnerabilità di sicurezza sfruttate
Come notato dai ricercatori Jumpsec Max Corbridge e Tom Ellson, la configurazione predefinita di Microsoft Teams consente ai tenant esterni (ovvero agli utenti M365 esterni all’organizzazione) di inviare messaggi ai dipendenti dell’organizzazione.
I ricercatori hanno scoperto che la stessa configurazione non consente ai tenant esterni di inviare file, ma questa restrizione può essere aggirata scambiando gli ID del destinatario interno ed esterno nella richiesta POST.
“Quando questa vulnerabilità è combinata con l’ingegneria sociale in tutti i team, diventa molto facile avviare una conversazione avanti e indietro, partecipare a una chiamata, condividere schermate e altro ancora”, ha spiegato Corbridge.
Microsoft afferma che il difetto non “soddisfa i criteri per il servizio online” perché il successo dello sfruttamento dipende dall’ingegneria sociale.
Informazioni su Teams Phisher
TeamsPhisher è uno strumento basato su Python creato dal team di lettura della US Navy Alex Reid che consente agli aggressori (autorizzati o meno) di fornire allegati agli utenti di Microsoft Teams.
TeamsPhisher integra il metodo di Corbridge ed Ellson per gestire le richieste Web di Teams e le tecnologie precedenti una dichiarazione Letto dal Teamer Andrea Santese, e utilizza il la differenza Script Python (del consulente per la sicurezza Bastian Kanbach) per trovare gli utenti esistenti di Microsoft Teams.
TeamsPhisher richiede agli utenti di disporre di un account Microsoft Business (al contrario di un account personale come Hotmail, Outlook e così via) con una licenza valida di Teams e Sharepoint. Ciò significa che avrai bisogno di un tenant AAD e di almeno un utente con una corrispondenza Licenze di prova gratuite disponibili nel Centro licenze AAD che soddisfano i requisiti per questo strumento”, Reid spiegare.
L’utilizzo dello strumento è semplice: il team di lettura/attaccante fornisce l’allegato dannoso, il messaggio e l’elenco degli utenti di Teams presi di mira. L’allegato viene caricato nello Sharepoint del mittente.
TeamsPhisher trova l’utente target, quindi crea una nuova chat di gruppo includendo due volte l’email del target.
Email di phishing inviate tramite TeamsPhisher – dal punto di vista del bersaglio (Fonte: Alex Reid)
“Attraverso il nuovo thread creato tra il mittente e il destinatario, il messaggio specificato verrà inviato all’utente con un collegamento all’allegato in Sharepoint”, ha concluso.
Lo strumento ha anche la possibilità di autenticare gli obiettivi per visualizzare l’allegato in Sharepoint, un passaggio che potrebbe convincere l’obiettivo a farlo.
Cosa fare finché il bug non viene risolto
Reid ha osservato che le organizzazioni possono mitigare i rischi posti da questa vulnerabilità gestendo le opzioni relative all’accesso esterno tramite l’interfaccia di amministrazione di Microsoft Teams. “Microsoft offre alle organizzazioni la flessibilità di scegliere le autorizzazioni più adatte alle loro esigenze, incluso il blocco generale e l’inserimento nella whitelist solo di tenant di terze parti selezionati per le connessioni”.
Microsoft ha esortato i clienti a fare attenzione quando fanno clic su collegamenti a pagine Web, aprono file sconosciuti o accettano trasferimenti di file.