Araştırmacılar, bilgisayar korsanlarının kullanıcıları kimlik avı yapmak veya onlar farkında olmadan kötü amaçlı yazılımları doğrudan bilgisayarlarına teslim etmek için Microsoft Teams işlevlerinden yararlanabilecekleri çeşitli yollar belirlediler.
Teams kullanıcı arabirimindeki sekmeleri kullanan kötü aktörler, potansiyel olarak kötü amaçlı bir yükü tetikleyebilir veya kullanıcıları neredeyse hiçbir iz bırakmadan kötü amaçlı sitelere yönlendirebilir. Proofpoint’ten bu hafta bir rapor. Ek olarak, bilgisayar korsanları toplantı davetleri veya mesajları yoluyla meşru URL’leri kötü niyetli URL’lerle değiştirebilir – yine, kullanıcıların çok geç olmadan farkı anlaması için herhangi bir bariz yol yoktur.
Araştırmacılar Dark Reading’e “Bu riskli Teams işlevleri, tehdit aktörlerinin kurbanları tespit edilmeden hedef alması için neredeyse ideal bir saldırı platformu sağlıyor” dedi.
En önemlisi, önerilen tüm senaryolar, bir saldırganın halihazırda güvenliği ihlal edilmiş bir hesabına veya elinde oturum belirtecine sahip olmasını gerektirir. Ancak araştırmacıların hızlı bir şekilde belirttiği gibi, bilgisayar korsanları uzun süredir kurumsal Teams ortamlarını hedefliyor ve kırıyor.
Rapora göre, Microsoft 365 kiracılarının yaklaşık %60’ı 2022’de en az bir başarılı hesap devralma olayına maruz kaldı. Ekipler ise, hedeflenen kuruluşların %39’uyla geçen yıl en çok hedeflenen onuncu oturum açma uygulaması oldu. en az bir yetkisiz, kötü niyetli oturum açma denemesi yaşanıyor.
Takım Sekmeleri Problemi
Sekmeler nadiren korku uyandırır. Sadece, belki de, aynı anda çok fazla açtığımızda.
Ancak tarayıcılardan farklı olarak Teams sekmeleri uygulamalara, web sitelerine ve dosyalara işaret edebilir. Örneğin, varsayılan “Dosyalar” sekmesi – her şeyden önce herhangi bir kanalda veya sohbet penceresinde – SharePoint ve OneDrive ile ilişkilendirilir. Ve kullanıcılar, örneğin belirli bir web alanını yeni bir sekmeye sabitleyerek sekmeler oluşturabilir.
Kötü niyetli bir kullanıcı, kötü niyetli bir etki alanıyla aynı şeyi yapabilir, ancak bu sadece başlangıç. Bir bilgisayar korsanı, belgelenmemiş API çağrılarını kullanarak kötü amaçlı bir sekmeyi yeniden adlandırabilir ve Teams’in kurallarını çiğneyecek şekilde yeniden konumlandırabilir.
Teorik olarak, bir bilgisayar korsanı kötü amaçlı bir URL’ye işaret eden bir sekme oluşturabilir, “Dosyalar” olarak yeniden adlandırabilir ve kullanıcının sohbet penceresindeki meşru “Dosyalar” sekmesinin yerini alacak şekilde yeniden konumlandırabilir.
Araştırmacılar, “Bu, saldırganlar için son derece çekici olabilir,” diye yazdı, “tasarım gereği, bir web sitesi sekmesinin URL’si, sekmenin ‘Ayarlar’ menüsünü kasıtlı olarak ziyaret etmedikçe kullanıcılara gösterilmez.”
Ama neden beladan geçelim? Alternatif olarak, bir bilgisayar korsanı sekmesini kötü amaçlı bir dosyaya yönlendirebilir. Kullanıcı Teams’e masaüstü veya Web istemcisi aracılığıyla erişiyorsa, Teams dosyayı soru sorulmadan otomatik olarak kullanıcının cihazına indirir.
Toplantılarda ve Mesajlarda Bağlantıları Değiştirme
Sekmeler, kötü niyetli aktörlerin odaklanabileceği tek Teams işlevi değildir.
Toplantılar yapın. API çağrıları ile bir saldırgan, takvim davetlerinde otomatik olarak oluşturulan toplantı bağlantılarını sabote ederek onları kötü amaçlı olanlarla değiştirebilir. Toplantı bağlantıları meşgul olma eğiliminde olduğundan – www.____.com kadar basit değil – kurbanlar aradaki farkı anlamakta zorlanabilirler.
Kötü niyetli bir oyuncu, sohbet mesajlarındaki köprüleri de manipüle ederek temeldeki URL’yi kötü niyetli bir yere işaret edecek şekilde değiştirebilir.
Proofpoint araştırmacıları, “Teams API’sinin özel veya grup sohbet mesajlarında bulunan bağlantıların hızlı ve otomatik olarak sıralanmasına ve düzenlenmesine izin verdiği göz önüne alındığında, saldırganlar tarafından çalıştırılan basit bir komut dosyasının geriye dönük olarak sayısız URL’yi saniyeler içinde silah haline getirebileceğini” tahmin ettiler.
Ekip Çalışması, Ekiplerin Çalışmasını Sağlamak için
Teams, iş kullanıcılarının genellikle son derece hassas bilgileri ve belgeleri paylaştığı, oldukça popüler bir iletişim platformudur. Bu nedenle, uzlaşmanın sonuçları yüksek olabilir.
Araştırmacılar, “Binlerce kuruluşun Teams hesaplarını ele geçirdiğini gördük,” diye açıklıyor araştırmacılar, “bu durum daha sonra finansal dolandırıcılık, marka kötüye kullanımı, sabotaj, veri hırsızlığı ve diğer risklere yol açtı. Birden fazla araştırmaya göre, bir hesap devralma olayının ortalama maliyeti binlerce ila milyonlarca dolara mal olabilir.”
Çözümler ise aksine basit olabilir. Araştırmacılar, “Kuruluşlar, birinci taraf uygulamalarının doğasında var olan riskler hakkında daha fazla şeffaflık olduğunda bilgiye dayalı kararlar alabilirler” diyor.
Örneğin, “ortalama bir kullanıcının erişemeyeceği ‘gizli’ URL’lerin görüntülenmesi daha kolay olmalıdır. Alternatif olarak, istenmeyen web sitelerine otomatik yönlendirmeyi önlemek ve otomatik dosya indirmelerini engellemek için güvenlik önlemlerinin eklenmesi ve güçlendirilmesi de güvenlik açıklarının azaltılmasına yardımcı olacaktır. .”
Yorum için ulaşıldığında Microsoft, Proofpoint’e şu yanıtı verdi:
“Microsoft, kullanıcıları Microsoft Teams’deki en iyi güvenlik uygulamalarını gözlemlemeye ve Sıfır Güven Güvenlik modelini benimsemek ve güvenlik güncellemelerini, antivirüs güncellemelerini ve kimlik doğrulamasını yönetmek için sağlam stratejiler benimsemek dahil olmak üzere güvenlik ve veri koruma için endüstri standardı en iyi uygulamaları benimsemeye teşvik ediyor. Daha fazla bilgi hakkında Sıfır Güven Güvenliği şu adreste mevcuttur: https://aka.ms/zerotrust.”