Podatności w Microsoft Teams

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Komunikaty IOD-y — 25 listopada 2022

25

lis
2022

Wszystkie organizacje korzystające z Microsoft Teams powinny być świadome zagrożeń związanych z wykorzystywaniem tego oprogramowania. Wszystko za sprawą podatności, które zostały ostatnio wykryte przez badaczy bezpieczeństwa.

Pierwsza z nich, wykryta przez badaczy z Vectra Protect, dotyczy przechowywania otwartym tekstem tokenów użytkowników, które mogą posłużyć atakującym do ominięcia dwuskładnikowego uwierzytelniania. Microsoft podjął decyzję o niewdrażaniu poprawek bezpieczeństwa przerzucając odpowiedzialność na organizacje. Zgodnie z argumentacją dostawcy podatność nie może zostać wykorzystana dopóki atakujący nie uzyska dostępu do sieci organizacji, która powinna być właściwie zabezpieczona. Niestety kolejne wykryte podatności w popularnych Teamsach mogą właśnie umożliwić uzyskanie dostępu do sieci organizacji.

Badacz bezpieczeństwa Bobby Rauch opisał na swoim blogu scenariusz ataku, który może być wykorzystywany przez hackerów do uzyskiwania inicjalnego dostępu do infrastruktury organizacji. Taki atak jest trudny do wykrycia, ponieważ cała komunikacja odbywa się za pośrednictwem serwerów Microsoftu pod „płaszczykiem” aplikacji Teams (obrazuje to poniższy schemat).

źródło: https://medium.com/@bobbyrsec/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7


Aż siedem różnych komponentów MS Teams może być wykorzystanych w celu ustanowienia połączenia zwrotnego do hackera, dającego mu pełną kontrolę nad komputerem ofiary.

W uproszczeniu, scenariusz ataku polega na tym, iż ofiara otrzymuje od użytkownika spoza organizacji, wiadomość ze złośliwym kodem ukrytym w pliku GIF, którego wykonanie może nastąpić nawet bez otworzenia przez użytkownika samej wiadomości.

Microsoft również w tym przypadku nie śpieszy się z „załataniem” podatności.

JAK SIĘ CHRONIĆ DO CZASU ZAŁATANIA PODATNOŚCI?

  1. Zmienić domyślne ustawienia dostępu na  spotkaniach zewnętrznych – konfiguracji można dokonać w Teams Admin Center.
  1. Włączyć monitorowanie nietypowych żądań wysyłanych do serwera odpowiedzialnego za wyszukiwanie plików GIF aplikacji Teams, szczególnie w przypadku długich nazw tych plików, które mogą zawierać wyekstrahowane („wyciągane”) dane. Jak na przykład:

https://urlp.asm.skype.com/v1/url/content?url=/.gif

  1. Włączyć monitorowanie nietypowego dostępu do plików z logami Teams-ów ($HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb.leveldb\…\*.log), który nie wymaga uprawnień administratora.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


20 − 19 =