Wszystkie organizacje korzystające z Microsoft Teams powinny być świadome zagrożeń związanych z wykorzystywaniem tego oprogramowania. Wszystko za sprawą podatności, które zostały ostatnio wykryte przez badaczy bezpieczeństwa.
Pierwsza z nich, wykryta przez badaczy z Vectra Protect, dotyczy przechowywania otwartym tekstem tokenów użytkowników, które mogą posłużyć atakującym do ominięcia dwuskładnikowego uwierzytelniania. Microsoft podjął decyzję o niewdrażaniu poprawek bezpieczeństwa przerzucając odpowiedzialność na organizacje. Zgodnie z argumentacją dostawcy podatność nie może zostać wykorzystana dopóki atakujący nie uzyska dostępu do sieci organizacji, która powinna być właściwie zabezpieczona. Niestety kolejne wykryte podatności w popularnych Teamsach mogą właśnie umożliwić uzyskanie dostępu do sieci organizacji.
Badacz bezpieczeństwa Bobby Rauch opisał na swoim blogu scenariusz ataku, który może być wykorzystywany przez hackerów do uzyskiwania inicjalnego dostępu do infrastruktury organizacji. Taki atak jest trudny do wykrycia, ponieważ cała komunikacja odbywa się za pośrednictwem serwerów Microsoftu pod „płaszczykiem” aplikacji Teams (obrazuje to poniższy schemat).
Aż siedem różnych komponentów MS Teams może być wykorzystanych w celu ustanowienia połączenia zwrotnego do hackera, dającego mu pełną kontrolę nad komputerem ofiary.
W uproszczeniu, scenariusz ataku polega na tym, iż ofiara otrzymuje od użytkownika spoza organizacji, wiadomość ze złośliwym kodem ukrytym w pliku GIF, którego wykonanie może nastąpić nawet bez otworzenia przez użytkownika samej wiadomości.
Microsoft również w tym przypadku nie śpieszy się z „załataniem” podatności.
JAK SIĘ CHRONIĆ DO CZASU ZAŁATANIA PODATNOŚCI?
- Zmienić domyślne ustawienia dostępu na spotkaniach zewnętrznych – konfiguracji można dokonać w Teams Admin Center.
- Włączyć monitorowanie nietypowych żądań wysyłanych do serwera odpowiedzialnego za wyszukiwanie plików GIF aplikacji Teams, szczególnie w przypadku długich nazw tych plików, które mogą zawierać wyekstrahowane („wyciągane”) dane. Jak na przykład:
https://urlp.asm.skype.com/v1/url/content?url=/.gif
- Włączyć monitorowanie nietypowego dostępu do plików z logami Teams-ów ($HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb.leveldb\…\*.log), który nie wymaga uprawnień administratora.