Bir kurbanın ağına ilk erişim elde eden saldırganların artık erişimlerini genişletmek için başka bir yöntemi daha var: bu çalışanların kimliğine bürünmek ve güvenlerinden yararlanmak için diğer Microsoft Teams kullanıcılarının erişim belirteçlerini kullanmak.
Bu, 13 Eylül’deki bir danışma belgesinde Microsoft Teams’in kimlik doğrulama belirteçlerini şifrelenmemiş olarak sakladığını ve herhangi bir kullanıcının özel izinlere ihtiyaç duymadan sırlar dosyasına erişmesine izin verdiğini belirten güvenlik firması Vectra’ya göre. Firmaya göre, yerel veya uzak sistem erişimine sahip bir saldırgan, şu anda çevrimiçi olan herhangi bir kullanıcının kimlik bilgilerini çalabilir ve çevrimdışı olsalar bile onları taklit edebilir ve Skype gibi ilişkili herhangi bir özellik aracılığıyla kullanıcının kimliğine bürünebilir ve çok faktörlü kimlik doğrulamayı atlayabilir ( MFA).
San Jose, Kaliforniya merkezli bir siber güvenlik firması olan Vectra’nın güvenlik mimarı Connor Peoples, zayıflığın saldırganlara bir şirketin ağında çok daha kolay hareket etme yeteneği verdiğini söylüyor.
“Bu, veri kurcalama, hedef odaklı kimlik avı, kimlik güvenliği dahil olmak üzere birden çok saldırı biçimini mümkün kılar ve erişime uygulanan doğru sosyal mühendislikle iş kesintisine yol açabilir” diyor ve saldırganların “bir kuruluş içindeki meşru iletişimleri kurcalayabileceğini” belirtiyor. seçici olarak yok ederek, sızdırarak veya hedefli kimlik avı saldırılarına girişerek.”
Vectra, şirketin araştırmacıları bir müşteri adına Microsoft Teams’i incelerken, etkin olmayan kullanıcıları silmenin yollarını ararken, Teams’in genellikle izin vermediği bir eylem olan sorunu keşfetti. Bunun yerine araştırmacılar, erişim belirteçlerini açık metin olarak depolayan ve onlara API’leri aracılığıyla Skype ve Outlook’a bağlanma yeteneği veren bir dosya buldu. Microsoft Teams, bu uygulamalar, SharePoint ve diğerleri dahil olmak üzere, yazılımın erişim elde etmek için belirteçlere ihtiyaç duyduğu çeşitli hizmetleri bir araya getirdiğinden, Vectra danışma belgesinde belirtilen.
Belirteçlerle, bir saldırgan yalnızca şu anda çevrimiçi bir kullanıcı olarak herhangi bir hizmete erişmekle kalmaz, aynı zamanda MFA’yı da atlayabilir, çünkü geçerli bir belirtecin varlığı genellikle kullanıcının ikinci bir faktör sağladığı anlamına gelir.
Sonunda, saldırı, hedeflenen bir şirket için dahili zorluklara neden olmak için saldırganlara yeterli erişim sağlamak için özel izinler veya gelişmiş kötü amaçlı yazılım gerektirmez.
Şirket, danışma belgesinde “Güvenliği ihlal edilmiş yeterli makineyle, saldırganlar bir kuruluş içindeki iletişimi yönetebilir” dedi. “Bir şirketin mühendislik başkanı, CEO’su veya CFO’su gibi kritik koltukların tam kontrolünü üstlenen saldırganlar, kullanıcıları kuruluşa zarar veren görevleri gerçekleştirmeye ikna edebilir. Bunun için kimlik avı testini nasıl uygularsınız?”
Microsoft: Yama Gerekmiyor
Microsoft sorunları kabul etti, ancak saldırganın hedef ağdaki bir sistemi tehlikeye atmış olması gerektiği gerçeğinin ortaya çıkan tehdidi azalttığını ve yama yapmamayı tercih ettiğini söyledi.
Bir Microsoft sözcüsü Dark Reading’e gönderilen bir bildiride, “Açıklanan teknik, bir saldırganın önce bir hedef ağa erişmesini gerektirdiğinden, anında hizmet verme çıtamızı karşılamıyor” dedi. “Vectra Protect’in bu sorunu belirleme ve sorumlu bir şekilde açıklama konusundaki ortaklığını takdir ediyoruz ve gelecekteki bir ürün sürümünde ele almayı düşüneceğiz.”
2019 yılında Açık Web Uygulama Güvenliği Projesi (OWASP) yayınlandı API güvenlik sorunlarının ilk 10 listesi. Mevcut sorun, listedeki ikinci ve yedinci sıradaki sorunlar olan Bozuk Kullanıcı Kimlik Doğrulaması veya Güvenlik Yanlış Yapılandırması olarak kabul edilebilir.
Bir güvenlik operasyonları ve analitik hizmet sağlayıcısı olan Netenrich’in baş tehdit avcısı John Bambenek, “Bu güvenlik açığını öncelikle yanal hareket için başka bir araç olarak görüyorum – esasen Mimikatz tipi bir araç için başka bir yol” diyor.
Güvenlik zayıflığının temel nedeni, Microsoft Teams’in, şirketlerin JavaScript, HTML ve CSS’ye dayalı yazılımlar oluşturmasına olanak tanıyan Electron uygulama çerçevesini temel almasıdır. Vectra’s Peoples, şirketin bu platformdan uzaklaştıkça güvenlik açığını ortadan kaldırabileceğini söylüyor.
“Microsoft, şu anda Electron tarafından getirilen endişelerin çoğunu azaltacak olan Progressive Web Uygulamalarına geçmek için güçlü bir çaba gösteriyor” diyor. “Electron uygulamasını yeniden tasarlamak yerine, varsayımım gelecekteki duruma daha fazla kaynak ayırıyorlar.”
Vectra, şirketlerin, sorunların kötüye kullanılmasını önlemek için yeterli güvenlik denetimine sahip tarayıcı tabanlı Microsoft Teams sürümünü kullanmalarını önerir. Vectra, danışma belgesinde, masaüstü uygulamasını kullanması gereken müşterilerin “resmi Teams uygulaması dışındaki herhangi bir işlemle erişim için önemli uygulama dosyalarını izlemesi” gerektiğini belirtti.
