Cyberprzestępcy nieustannie poszukują nowych metod wykorzystujących socjotechnikę i narzędzia, aby zaatakować przedsiębiorstwa. Ostatnio takim nowym wektorem stała się aplikacja Microsoft Teams. Badacze odkryli, że domyślna konfiguracja tej platformy komunikacyjnej może pozwalać zewnętrznym dzierżawcom na wysyłanie wiadomości do pracowników firmy, co może prowadzić do poważnych ataków typu phishing.
Luka w Microsoft Teams umożliwiająca spoofing adresów e-mail
Już w czerwcu 2023 roku badacze Jumpsec – Max Corbridge i Tom Ellson – zauważyli, że domyślna konfiguracja Microsoft Teams umożliwia zewnętrznym dzierżawcom, czyli użytkownikom spoza organizacji, wysyłanie wiadomości do jej pracowników. Co więcej, nawet jeśli zewnętrzni dzierżawcy nie mogą wysyłać plików, to ta usterka pozwala im na obejście tego ograniczenia poprzez manipulację żądaniami sieciowymi w aplikacji Teams.
Według badaczy, taka kombinacja luki w zabezpieczeniach i technik socjotechnicznych może umożliwić cyberprzestępcom łatwe rozpoczęcie konwersacji, udostępnianie ekranu i wiele innych szkodliwych działań. Mimo że Microsoft początkowo stwierdził, że usterka nie wymaga natychmiastowej naprawy, ponieważ jej pomyślne wykorzystanie zależy od socjotechniki, to luka ta została później uznana za poważne zagrożenie.
Narzędzie TeamsPhisher wykorzystujące lukę
Cyberprzestępcy szybko opracowali narzędzie, które wykorzystuje tę lukę w Microsoft Teams. Narzędzie to nosi nazwę TeamsPhisher i zostało stworzone przez członka drużyny Red Team, Alexa Reida.
TeamsPhisher umożliwia atakującym, zarówno autoryzowanym, jak i nieupoważnionym, dostarczanie złośliwych załączników użytkownikom Microsoft Teams. Narzędzie to wykorzystuje techniki ujawnione wcześniej przez Andrea Santese oraz skrypt TeamsEnum Python autorstwa Bastiana Kanbacha, aby znaleźć istniejących użytkowników Microsoft Teams.
Co ważne, aby wykorzystać to narzędzie, cyberprzestępcy potrzebują konta Microsoft Business, a nie zwykłego konta e-mailowego, oraz ważnej licencji na Teams i SharePoint. Oznacza to, że do przeprowadzenia ataku wymagane jest posiadanie dzierżawy usługi Azure Active Directory (AAD) i co najmniej jednego użytkownika z odpowiednią licencją.
Jak cyberprzestępcy wykorzystują lukę w Microsoft Teams?
Według raportu, cyberprzestępcy z grupy Storm-0324 zaczęli wykorzystywać tę lukę w lipcu 2023 roku. Korzystając z narzędzia TeamsPhisher, atakujący wysyłają wiadomości phishingowe do pracowników przedsiębiorstw za pośrednictwem aplikacji Teams. Wiadomości te zawierają złośliwe linki prowadzące do plików hostowanych w usłudze SharePoint.
Według badaczy z firmy Microsoft, ta konkretna kampania phishingowa nie jest powiązana z podobnymi atakami prowadzonymi przez rosyjską grupę APT. Jednak Storm-0324 jest aktywna od ponad 8 lat i wcześniej wykorzystywała różne zestawy exploitów oraz wektory oparte na poczcie e-mail do dostarczania złośliwego oprogramowania, takich jak trojany bankowe, crimeware i ransomware.
Kluczowe jest to, że cyberprzestępcy mogą wykorzystać tę lukę w Microsoft Teams do wysyłania wiadomości, które wyglądają na pochodzące od zaufanych wewnętrznych źródeł. Takie spoofing adresów e-mail może skutecznie zwieść nieostrożnych pracowników, a w rezultacie umożliwić dalsze ataki.
Środki zaradcze i zalecenia dla administratorów
Microsoft stwierdził, że luka ta nie spełniała wymagań umożliwiających natychmiastową naprawę, ponieważ jej wykorzystanie zależy od czynników socjotechnicznych. Jednak firma podjęła kilka kroków, aby lepiej chronić użytkowników przed tego typu zagrożeniami:
- Zawieszanie zidentyfikowanych kont i dzierżawców związanych z nieautentycznym lub oszukańczym zachowaniem.
- Udoskonalenie funkcji AkceptujBlokuj w rozmowach jeden na jeden w aplikacji Teams, aby lepiej podkreślać zewnętrzny charakter użytkownika i jego adres e-mail.
- Wprowadzenie nowych ograniczeń dotyczących tworzenia domen w ramach dzierżawców oraz ulepszone powiadomienia dla administratorów dzierżawców.
Ponadto eksperci zalecają, aby administratorzy podjęli dodatkowe kroki w celu ograniczenia tego zagrożenia:
- Uniemożliwienie zewnętrznym dzierżawcom kontaktu z pracownikami.
- Zmiana ustawień zabezpieczeń, aby zezwalać tylko na komunikację z określonymi, zaufanymi domenami.
Należy pamiętać, że to drugie rozwiązanie nie będzie skuteczne, jeśli zewnętrzny dzierżawca, z którym można się skontaktować, zostanie naruszony. Dlatego kluczowe jest wdrożenie solidnych zabezpieczeń, takich jak uwierzytelnianie wieloskładnikowe, które utrudni cyberprzestępcom wykorzystanie tej luki.
Podsumowanie i wnioski
Luka w Microsoft Teams, pozwalająca na spoofing adresów e-mail, stanowi poważne zagrożenie dla przedsiębiorstw. Cyberprzestępcy, tacy jak grupa Storm-0324, już wykorzystują ją do przeprowadzania niebezpiecznych ataków phishingowych, które mogą prowadzić do kradzieży danych, instalacji złośliwego oprogramowania lub innych szkodliwych działań.
Choć Microsoft podjął pewne kroki w celu ograniczenia tego problemu, administratorzy muszą wdrożyć dodatkowe środki zaradcze, takie jak ograniczenie dostępu zewnętrznych dzierżawców i wykorzystanie uwierzytelniania wieloskładnikowego. Tylko kompleksowe podejście do cyberbezpieczeństwa może skutecznie chronić firmy przed tego typu zagrożeniami.
Należy również śledzić dalsze doniesienia na temat tej luki i ewentualnych nowych narzędzi lub technik stosowanych przez cyberprzestępców. Strona internetowa Stop Oszustom może być dobrym źródłem aktualnych informacji i wskazówek, jak skutecznie chronić się przed tego typu atakami.
