Se lanzó una herramienta que automatiza la entrega de malware de atacantes externos a las bandejas de entrada de los empleados en Microsoft Teams.
EquiposPhisher (Fuente: Alex Reid)
Sobre la vulnerabilidad explotada
Como señalaron los investigadores de Jumpsec Max Corbridge y Tom Ellson, la configuración predeterminada de Microsoft Teams permite a los inquilinos externos (es decir, usuarios de M365 fuera de la organización) enviar mensajes a los empleados de la organización.
Los investigadores descubrieron que la misma configuración no permite que los inquilinos externos envíen archivos, pero esta restricción se puede omitir intercambiando las ID de los destinatarios internos y externos en la solicitud POST.
“Cuando esta vulnerabilidad se combina con la ingeniería social en los equipos, se vuelve muy fácil iniciar una conversación de ida y vuelta, participar en una llamada, compartir pantallas y más”, explicó Corbridge.
Microsoft dice que la falla no «cumple con los criterios para el servicio en línea» porque la explotación exitosa depende de la ingeniería social.
Acerca de TeamsPhisher
TeamsPhisher es una herramienta basada en Python creada por el equipo de lectura de la Marina de los EE. UU. Alex Reid que permite a los atacantes (autorizados o no) entregar archivos adjuntos a los usuarios de Microsoft Teams.
TeamsPhisher integra el método de Corbridge y Ellson para manejar solicitudes web de Teams y tecnologías anteriores una declaración Leído por Teamer Andrea Santese, y utiliza el la diferencia Script de Python (por el consultor de seguridad Bastian Kanbach) para encontrar usuarios existentes de Microsoft Teams.
TeamsPhisher requiere que los usuarios tengan una cuenta de Microsoft Business (a diferencia de una cuenta personal como Hotmail, Outlook, etc.) con una licencia válida de Teams y Sharepoint. Esto significa que necesitará un arrendatario de AAD y al menos un usuario con una licencia correspondiente. Licencias de prueba gratuitas disponibles en el Centro de licencias de AAD que cumplen con los requisitos para esta herramienta”, Reid para explicar.
Usar la herramienta es fácil: el equipo/atacante de lectura proporciona el archivo adjunto malicioso, el mensaje y la lista de usuarios de Teams objetivo. El archivo adjunto se carga en el Sharepoint del remitente.
TeamsPhisher encuentra al usuario objetivo, luego crea un nuevo chat grupal al incluir el correo electrónico del objetivo dos veces.
Correo electrónico de phishing enviado a través de TeamsPhisher: desde el punto de vista del objetivo (Fuente: Alex Reid)
Concluyó: «A través del nuevo hilo creado entre el remitente y el destino, el mensaje especificado se enviará al usuario con un enlace al archivo adjunto en Sharepoint».
La herramienta también tiene la opción de que los objetivos se autentiquen para ver el archivo adjunto en Sharepoint, un paso que podría convencer al objetivo para que lo haga.
Qué hacer hasta que se solucione el error
Reid señaló que las organizaciones pueden mitigar los riesgos que plantea esta vulnerabilidad al administrar las opciones relacionadas con el acceso externo a través del centro de administración de Microsoft Teams. “Microsoft ofrece a las organizaciones la flexibilidad de elegir los permisos que mejor se adapten a sus necesidades, incluido el bloqueo general y la inclusión en la lista blanca solo de terceros específicos para las conexiones”.
Microsoft instó a los clientes a tener cuidado al hacer clic en enlaces a páginas web, abrir archivos desconocidos o aceptar transferencias de archivos.
«Estudiante amistoso. Jugador certificado. Evangelista de las redes sociales. Fanático de Internet. Se cae mucho. Futuro ídolo adolescente».