Een lid van het rode team van de Amerikaanse marine heeft een tool gepubliceerd met de naam TeamsPhisher die gebruik maakt van een onopgelost beveiligingsprobleem in Microsoft Teams om beperkingen te omzeilen voor inkomende bestanden van gebruikers buiten een beoogde organisatie, de zogenaamde externe tenants.
De tool maakt gebruik van een probleem dat vorige maand aan het licht kwam door Max Corbridge en Tom Ellson van het Britse beveiligingsbedrijf Jumpsec, die uitlegden hoe een aanvaller gemakkelijk de beperkingen van Microsoft Teams op het gebied van het verzenden van bestanden kon omzeilen om malware vanaf een extern account af te leveren.
Deze prestatie is mogelijk omdat de applicatie client-side beveiligingen heeft die kunnen worden misleid om een externe gebruiker als een interne gebruiker te behandelen, gewoon door de ID in het POST-verzoek van een bericht te wijzigen.
Aanvallen op Teams stroomlijnen
'TeamsPhisher' is een op Python gebaseerde tool die zorgt voor een volledig geautomatiseerde aanval. Het integreert het aanvalsidee van de onderzoekers van Jumpsec, technieken ontwikkeld door Andrea Santese, en authenticatie- en helperfuncties uit Bastian Kanbach's 'TeamsEnum'tool.
"Geven TeamsPhisher een bijlage, een bericht en een lijst met doel-Teams-gebruikers. Het uploadt de bijlage naar het Sharepoint van de afzender en doorloopt vervolgens de lijst met doelen”, luidt de beschrijving van Alex Reid, de ontwikkelaar van het red team-hulpprogramma.
TeamsPhisher verifieert eerst het bestaan van de doelgebruiker en hun vermogen om externe berichten te ontvangen, wat een voorwaarde is om de aanval te laten werken.
Vervolgens wordt er een nieuwe thread met het doel aangemaakt en wordt er een bericht met een Sharepoint-bijlagelink verzonden. De thread verschijnt in de Teams-interface van de afzender voor (potentiële) handmatige interactie.
TeamsPhisher vereist dat gebruikers een Microsoft Business-account hebben (MFA wordt ondersteund) met een geldige Teams- en Sharepoint-licentie, wat gebruikelijk is bij veel grote bedrijven.
De tool biedt ook een “preview-modus” om gebruikers te helpen de ingestelde doellijsten te verifiëren en de weergave van berichten vanuit het perspectief van de ontvanger te controleren.
Andere functies en optionele argumenten in TeamsPhisher zouden de aanval kunnen verfijnen. Deze omvatten het verzenden van beveiligde bestandskoppelingen die alleen kunnen worden bekeken door de beoogde ontvanger, het specificeren van een vertraging tussen berichtverzendingen om snelheidsbeperking te omzeilen, en het schrijven van uitvoer naar een logbestand.
Onopgelost probleem
Het probleem dat TeamsPhisher misbruikt, is nog steeds aanwezig en Microsoft vertelde de onderzoekers van Jumpsec dat het niet voldeed aan de lat voor onmiddellijk onderhoud.
BleepingComputer nam vorige maand ook contact op met het bedrijf voor een opmerking over plannen om het probleem op te lossen, maar ontving geen reactie. We hebben ons verzoek om commentaar van Microsoft herhaald, maar hebben op het moment van publicatie geen antwoord ontvangen.
Hoewel TeamPhisher is gemaakt voor geautoriseerde operaties van het rode team, kunnen bedreigingsactoren het ook gebruiken om malware te leveren aan doelorganisaties zonder alarm te laten afgaan.
Totdat Microsoft besluit hier actie op te ondernemen, wordt organisaties ten zeerste aangeraden om de communicatie met externe huurders uit te schakelen als dit niet nodig is. Ze kunnen ook een toelatingslijst maken met vertrouwde domeinen, wat het risico op uitbuiting zou beperken.