Hay una nueva herramienta que brinda a los atacantes una forma de aprovechar una vulnerabilidad recientemente revelada en Microsoft Teams y entregar automáticamente archivos maliciosos a los usuarios de Teams objetivo en una organización.
La herramienta, denominada TeamsPhisher, funciona en entornos en los que una organización permite la comunicación entre sus usuarios internos de Teams y usuarios externos de Teams, o inquilinos. Permite a los atacantes entregar cargas útiles directamente en la bandeja de entrada de la víctima sin depender de las estafas tradicionales de phishing o ingeniería social para llegar allí.
"Dé a TeamsPhisher un archivo adjunto, un mensaje y una lista de usuarios de Teams objetivo", dijo el desarrollador de la herramienta Alex Reid, miembro del Equipo Rojo de la Marina de los EE.UU., en una descripción de la herramienta en GitHub. "Cargará el archivo adjunto al Sharepoint del remitente y luego iterará a través de la lista de objetivos".
Flujos de ciberataques completamente automatizados
TeamsPhisher incorpora una técnica que dos investigadores de JUMPSEC Labs revelaron recientemente para eludir una función de seguridad en Microsoft Teams. Si bien la aplicación de colaboración permite la comunicación entre usuarios de Teams de diferentes organizaciones, bloquea el intercambio de archivos entre ellos.
Los investigadores de JUMPSEC, Max Corbridge (@CorbridgeMax) and Tom Ellson (@tde_sec), encontraron una manera relativamente fácil de eludir esta restricción, utilizando lo que se conoce como la técnica de referencia directa de objetos inseguros (IDOR). Como señaló el proveedor de seguridad Varonis en una publicación de blog reciente, "los errores de IDOR permiten que un atacante interactúe maliciosamente con una aplicación web mediante la manipulación de una 'referencia de objeto directo', como una clave de base de datos, un parámetro de consulta o un nombre de archivo".
Corbridge y Ellson descubrieron que podían explotar un problema de IDOR en Teams simplemente cambiando la ID del destinatario interno y externo al enviar una solicitud POST. Los dos investigadores descubrieron que cuando se envía un payload de esta manera, el mismo se aloja en el dominio de SharePoint del remitente y llega a la bandeja de entrada del equipo de la víctima.
Corbridge y Ellson identificaron que la vulnerabilidad afecta a todas las organizaciones que ejecutan Teams en una configuración predeterminada y la describieron como algo que un atacante podría usar para eludir los mecanismos antiphishing y otros controles de seguridad. Microsoft reconoció el problema, pero de manera similar lo consideró como algo que no merecía una solución inmediata.
TeamsPhisher incorpora múltiples técnicas de ataque
Reid describió que su herramienta TeamsPhisher incorpora las técnicas de JUMPSEC, así como algunas investigaciones anteriores de Andrea Santese sobre cómo aprovechar Microsoft Teams para el acceso inicial. También incorpora técnicas de TeamsEnum, una herramienta para enumerar usuarios de Teams, que un investigador de Secure Systems Engineering GmbH había lanzado previamente a GitHub.
Según Reid, la forma en que funciona TeamsPhisher es primero enumerar un usuario objetivo de Teams y verificar que el usuario pueda recibir mensajes externos. TeamsPhisher luego crea un nuevo hilo con el usuario objetivo. Utiliza una técnica que permite que el mensaje llegue a la bandeja de entrada del objetivo sin la pantalla de inicio habitual "Alguien fuera de su organización le envió un mensaje, ¿está seguro de que desea verlo?", dijo Reid.
"Con el nuevo hilo creado entre nuestro remitente y el destino, el mensaje especificado se enviará al usuario junto con un enlace al archivo adjunto en Sharepoint", señaló. "Una vez que se haya enviado este mensaje inicial, el hilo creado será visible en la GUI de Teams del remitente y se podrá interactuar manualmente, si es necesario, caso por caso".
JUMPSEC ha instado a las organizaciones que utilizan Microsoft Teams a revisar si existe alguna necesidad empresarial de habilitar las comunicaciones entre los usuarios internos de Teams y los inquilinos externos.
"Si actualmente no está utilizando Teams para la comunicación regular con inquilinos externos, refuerce sus controles de seguridad y elimine la opción por completo", aconsejó la compañía.
Fuente: DarkReading