Logiciels malveillants automatisés diffusés via l'outil d'exploitation Microsoft Teams

Par Chance en Computer Security, Phishing

Se traduisent par :

Baptisé "TeamsPhisher", l'outil permet aux testeurs d'intrusion et aux adversaires de livrer des fichiers menaçants directement à un utilisateur Teams depuis un environnement extérieur.

Les attaquants ont désormais accès à un puissant outil « TeamsPhisher » qui exploite une vulnérabilité récemment révélée dans Microsoft Teams. Cet outil offre un moyen transparent de fournir des fichiers corrompus à des utilisateurs spécifiques au sein d'une organisation utilisant Teams. En tirant parti des capacités de communication entre les utilisateurs internes et externes de Teams, les attaquants peuvent insérer directement des charges utiles nuisibles dans les boîtes de réception des victimes sans avoir besoin de tactiques de phishing ou d'ingénierie sociale conventionnelles. La disponibilité de cet outil soulève des inquiétudes quant au potentiel d'attaques ciblées accrues et souligne l'importance pour les organisations de renforcer leurs mesures de sécurité pour se protéger contre de telles menaces.

Prérequis et Modus Operandi

Selon le développeur de l'outil, Alex Reid, membre de l'US Navy Red Team, TeamsPhisher peut être invité à télécharger une pièce jointe sur le Sharepoint de l'expéditeur et à cibler une liste spécifiée d'utilisateurs Teams. Ce processus implique de fournir à l'outil une pièce jointe, un message et une liste d'utilisateurs cibles. TeamsPhisher effectuera alors les démarches nécessaires pour exécuter les actions envisagées.

TeamsPhisher utilise une technique récemment révélée par Max Corbridge et Tom Ellson, chercheurs de JUMPSEC Labs, pour surmonter une limitation de sécurité dans Microsoft Teams. Alors que la plate-forme de collaboration permet la communication entre les utilisateurs de différentes organisations, le partage de fichiers est limité. Cependant, Corbridge et Ellson ont identifié une vulnérabilité IDOR (Insecure Direct Object Reference), qui leur a permis de contourner efficacement cette restriction.

En manipulant l'ID du destinataire interne et externe dans une requête POST, ils ont découvert qu'une charge utile envoyée de cette manière résiderait dans le domaine SharePoint de l'expéditeur et atterrirait dans la boîte de réception Teams du destinataire. Cette vulnérabilité affecte toutes les organisations utilisant Teams dans une configuration par défaut, permettant aux attaquants de contourner les mesures anti-hameçonnage et autres contrôles de sécurité. Malgré la reconnaissance du problème par Microsoft, ils ont considéré qu'il ne s'agissait pas d'une priorité immédiate pour la résolution. Par conséquent, les organisations doivent rester vigilantes et prendre des mesures proactives pour atténuer ce risque de sécurité potentiel.

L'outil TeamsPhisher de Reid combine les techniques de JUMPSEC, Andrea Santese et Secure Systems Engineering GmbH. Il exploite TeamsEnum pour l'énumération des utilisateurs et intègre des méthodes pour l'accès initial. TeamsPhisher vérifie la capacité d'un utilisateur cible à recevoir des messages externes et crée un nouveau fil pour livrer le message directement dans la boîte de réception, en contournant l'écran de confirmation habituel. Une fois le nouveau fil lancé, le message et le lien de pièce jointe Sharepoint iront à l'utilisateur cible. Après avoir envoyé le message initial, l'expéditeur peut afficher et interagir avec le fil créé dans son interface graphique Teams, en traitant les cas spécifiques si nécessaire."

Des sources ont contacté Microsoft pour obtenir des commentaires sur l'impact de la publication de TeamsPhisher sur leur approche de la résolution de la vulnérabilité découverte, mais aucune réponse n'a encore été reçue. JUMPSEC a recommandé aux organisations utilisant Microsoft Teams d'évaluer la nécessité de permettre la communication entre les utilisateurs internes et les locataires externes. "Si vous ne communiquez pas régulièrement avec des locataires externes sur Teams, il est conseillé d'améliorer vos contrôles de sécurité et de désactiver complètement cette option", a conseillé la société.