Ошибка Microsoft Teams позволяет доставлять вредоносное ПО из внешних учетных записей

Исследователи безопасности нашли простой способ доставки вредоносного ПО в организацию с помощью Microsoft Teams, несмотря на ограничения в приложении для файлов из внешних источников.

С 280 миллионов активных пользователей в месяцMicrosoft Teams была принята организациями в качестве платформы для общения и совместной работы, являющейся частью облачных служб Microsoft 365.

Учитывая популярность продукта в различных организациях, Макс Корбридж и Том Эллисон – члены Red Team из британской компании по обеспечению безопасности Jumpsec покопались и обнаружили способ доставки вредоносного ПО с помощью Microsoft Teams с учетной записью за пределами целевой организации.

Детали атаки

Атака работает с Microsoft Teams, использующими конфигурацию по умолчанию, которая разрешает связь с учетными записями Microsoft Teams за пределами компании, обычно называемыми «внешними арендаторами».

Корбридж объясняет в своем отчете, что, хотя этого коммуникационного моста было бы достаточно для социальной инженерии и фишинговых атак, обнаруженный ими метод является более мощным, поскольку позволяет отправлять вредоносную полезную нагрузку непосредственно в целевой почтовый ящик.

В Microsoft Teams предусмотрена защита на стороне клиента, которая блокирует доставку файлов из учетных записей внешних клиентов.

Однако два члена команды Jumpsec Red Team обнаружили, что они могут обойти ограничение, изменив внутренний и внешний идентификатор получателя в POST-запросе сообщения, тем самым обманув систему, заставив ее рассматривать внешнего пользователя как внутреннего.

Исследователи протестировали технику в полевых условиях и смогли успешно доставить полезную нагрузку управления и контроля в почтовый ящик целевой организации в рамках тайного взаимодействия с красной командой.

Эта атака обходит существующие меры безопасности и советы по обучению борьбе с фишингом, предоставляя злоумышленникам довольно простой способ заразить любую организацию, использующую Microsoft Teams с конфигурацией по умолчанию.

Кроме того, если злоумышленник зарегистрирует домен, аналогичный целевым организациям, в Microsoft 365, их сообщения могут выглядеть так, как будто они исходят от кого-то внутри организации, а не от внешнего арендатора, что увеличивает вероятность того, что цель загрузит файл. .

ответ Майкрософт

Исследователи сообщили о своих выводах в Microsoft, предполагая, что воздействие было достаточно значительным, чтобы гарантировать немедленный ответ от технологического гиганта.

Хотя Microsoft подтвердила наличие уязвимости, в ответ было сказано, что «она не соответствует планке для немедленного обслуживания», что означает, что компания не видит срочности в ее исправлении.

BleepingComputer также связался с Microsoft, чтобы узнать, когда они планируют исправить проблему и была ли пересмотрена ее серьезность, но мы не получили ответа на момент публикации.

Рекомендуемое действие для организаций, которые используют Microsoft Teams и которым не требуется поддерживать регулярную связь с внешними арендаторами, — отключить эту функцию в «Центре администрирования Microsoft Teams > Внешний доступ».

Если необходимо поддерживать внешние каналы связи, организации могут определить определенные домены в списке разрешений, чтобы снизить риск эксплуатации.

Исследователи Jumpsec также отправил запрос чтобы добавить внешние события, связанные с арендатором, в журнал программного обеспечения, что может помочь предотвратить атаки по мере их развертывания, поэтому проголосуйте за это, если вы хотите внести свой вклад в то, чтобы заставить Microsoft принять меры.