Un membre de l’équipe rouge de l’US Navy a publié un outil appelé TeamsPhisher qui exploite un problème de sécurité non résolu dans Microsoft Teams pour contourner les restrictions pour les fichiers entrants provenant d’utilisateurs extérieurs à une organisation ciblée, les soi-disant locataires externes.

L’outil exploite un problème mis en évidence le mois dernier par Max Corbridge et Tom Ellson de la société de services de sécurité basée au Royaume-Uni Jumpsec, qui ont expliqué comment un attaquant pouvait facilement contourner les restrictions d’envoi de fichiers de Microsoft Teams pour diffuser des logiciels malveillants à partir d’un compte externe.

L’exploit est possible car l’application dispose de protections côté client qui peuvent être amenées à traiter un utilisateur externe comme un utilisateur interne simplement en modifiant l’ID dans la requête POST d’un message.

Rationalisation des attaques contre Teams
‘TeamsPhisher’ est un outil basé sur Python qui fournit une attaque entièrement automatisée. Il intègre l’idée d’attaque des chercheurs de Jumpsec, les techniques développées par Andrea Santese et les fonctions d’authentification et d’assistance de l’outil « TeamsEnum » de Bastian Kanbach.

« Donnez à TeamsPhisher une pièce jointe, un message et une liste d’utilisateurs Teams cibles. Il téléchargera la pièce jointe sur le Sharepoint de l’expéditeur, puis parcourra la liste des cibles », lit la description d’Alex Reid, le développeur de l’équipe rouge. utilitaire.

TeamsPhisher vérifie d’abord l’existence de l’utilisateur cible et sa capacité à recevoir des messages externes, ce qui est une condition préalable au fonctionnement de l’attaque.

Il crée ensuite un nouveau fil avec la cible, leur envoie un message avec un lien de pièce jointe Sharepoint. Le fil apparaît dans l’interface Teams de l’expéditeur pour une interaction manuelle (potentielle).

TeamsPhisher exige que les utilisateurs aient un compte Microsoft Business (MFA est pris en charge) avec une licence Teams et Sharepoint valide, ce qui est courant pour de nombreuses grandes entreprises.

L’outil propose également un « mode aperçu » pour aider les utilisateurs à vérifier les listes cibles définies et à vérifier l’apparence des messages du point de vue du destinataire.

D’autres fonctionnalités et arguments facultatifs dans TeamsPhisher pourraient affiner l’attaque. Celles-ci incluent l’envoi de liens de fichiers sécurisés qui ne peuvent être consultés que par le destinataire prévu, la spécification d’un délai entre les transmissions de messages pour contourner la limitation de débit et l’écriture des sorties dans un fichier journal.

Problème non résolu
Le problème que TeamsPhisher exploite est toujours présent et Microsoft a déclaré aux chercheurs de Jumpsec qu’il n’avait pas atteint la barre pour un service immédiat.

Breachtrace a également contacté la société le mois dernier pour un commentaire sur les plans de résolution du problème, mais n’a pas reçu de réponse. Nous avons réitéré notre demande de commentaires de Microsoft mais n’avons pas reçu de réponse au moment de la publication.

Bien que TeamPhisher ait été créé pour les opérations autorisées de l’équipe rouge, les acteurs de la menace peuvent également en tirer parti pour diffuser des logiciels malveillants aux organisations cibles sans déclencher d’alarmes.

Jusqu’à ce que Microsoft décide de prendre des mesures à ce sujet, il est fortement conseillé aux organisations de désactiver les communications avec les locataires externes si elles ne sont pas nécessaires. Ils peuvent également créer une liste blanche avec des domaines de confiance, ce qui limiterait le risque d’exploitation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *