Malware automatizado entregado a través de la herramienta de explotación de Microsoft Teams

Por Chance en Computer Security, Phishing

Traducir a:

Apodada "TeamsPhisher", la herramienta permite a los evaluadores de penetración y adversarios entregar archivos amenazantes directamente a un usuario de Teams desde un entorno externo.

Los atacantes ahora tienen acceso a una poderosa herramienta "TeamsPhisher" que explota una vulnerabilidad recientemente revelada en Microsoft Teams. Esta herramienta proporciona una forma sencilla de entregar archivos corruptos a usuarios específicos dentro de una organización que usa Teams. Al aprovechar las capacidades de comunicación entre los usuarios internos y externos de Teams, los atacantes pueden insertar directamente cargas dañinas en las bandejas de entrada de las víctimas sin necesidad de tácticas de phishing o ingeniería social convencionales. La disponibilidad de esta herramienta plantea preocupaciones sobre el potencial de un aumento de los ataques dirigidos y destaca la importancia de que las organizaciones refuercen sus medidas de seguridad para protegerse contra tales amenazas.

Requisitos previos y modus operandi

Según el desarrollador de la herramienta, Alex Reid, miembro del Equipo Rojo de la Marina de los EE. UU., se puede indicar a TeamsPhisher que cargue un archivo adjunto en el Sharepoint del remitente y proceda a apuntar a una lista específica de usuarios de Teams. Este proceso implica proporcionar a la herramienta un archivo adjunto, un mensaje y una lista de usuarios objetivo. TeamsPhisher luego llevará a cabo los pasos necesarios para ejecutar las acciones previstas.

TeamsPhisher utiliza una técnica revelada recientemente por los investigadores de JUMPSEC Labs Max Corbridge y Tom Ellson para superar una limitación de seguridad en Microsoft Teams. Si bien la plataforma de colaboración permite la comunicación entre usuarios de diferentes organizaciones, el intercambio de archivos está restringido. Sin embargo, Corbridge y Ellson identificaron una vulnerabilidad de referencia de objeto directo inseguro (IDOR), que les permitió eludir esta restricción de manera efectiva.

Al manipular la identificación del destinatario interno y externo en una solicitud POST, descubrieron que una carga útil enviada de esta manera residiría en el dominio de SharePoint del remitente y llegaría a la bandeja de entrada de Teams del destinatario. Esta vulnerabilidad afecta a todas las organizaciones que usan Teams en una configuración predeterminada, lo que permite a los atacantes eludir las medidas antiphishing y otros controles de seguridad. A pesar del reconocimiento del problema por parte de Microsoft, han considerado que no es una prioridad inmediata para solucionarlo. Como resultado, las organizaciones deben permanecer alerta y tomar medidas proactivas para mitigar este riesgo potencial de seguridad.

La herramienta TeamsPhisher de Reid combina técnicas de JUMPSEC, Andrea Santese y Secure Systems Engineering GmbH. Aprovecha TeamsEnum para la enumeración de usuarios e incorpora métodos para el acceso inicial. TeamsPhisher verifica la capacidad de un usuario objetivo para recibir mensajes externos y crea un nuevo hilo para enviar el mensaje directamente a la bandeja de entrada, sin pasar por la pantalla de confirmación habitual. Una vez que se haya iniciado el nuevo hilo, el mensaje y el enlace adjunto de Sharepoint irán al usuario de destino. Después de enviar el mensaje inicial, el remitente puede ver e interactuar con el hilo creado en su GUI de Teams, abordando cualquier caso específico según sea necesario".

Las fuentes se comunicaron con Microsoft para comentar sobre el impacto del lanzamiento de TeamsPhisher en su enfoque para abordar la vulnerabilidad descubierta, pero aún no se ha recibido una respuesta. JUMPSEC ha recomendado que las organizaciones que usan Microsoft Teams evalúen la necesidad de permitir la comunicación entre usuarios internos y arrendatarios externos. "Si no se comunica regularmente con inquilinos externos en Teams, es recomendable mejorar sus controles de seguridad y deshabilitar esta opción por completo", aconsejó la compañía.