Bezpečnostní výskumníci našli spôsob, ako zneužiť MS Teams na doručenie malvéru do organizácie.
Ak by ste mali uviesť jednu vec, ktorá v posledných rokoch zmenila spôsob komunikácie s kolegami v práci, bola by to cloudová platforma Microsoft Teams. Spoločnosť Microsoft ju vyvinula ako súčasť balíka služieb Microsoft 365. Poskytuje priestor na videohovory, ukladanie súborov, prácu a najčastejšie na četovanie.
Popularita platformy prudko vzrástla počas pandémie, keď MS Teams používali nielen firmy, ale aj univerzity, školy a iné organizácie na každodennú pracovnú interakciu. V roku 2023 sa mesačný počet aktívnych používateľov služby Microsoft Teams vyšplhal na 280 miliónov, pričom väčšina bola v produktívnom veku. MS Teams a mnohé aplikácie, akokoľvek praktické, ktoré sú súčasťou tejto platformy, nedávno čelili okamihu pravdy, pokiaľ ide o kybernetickú bezpečnosť. Ide o dôkaz, že cloudové bezpečnostné riešenia sú dôležitejšie než kedykoľvek predtým.
Problémy MS Teams
Vzhľadom na rastúci počet používateľov platformy priťahuje MS Teams pozornosť nielen odborníkov na kybernetickú bezpečnosť, ale aj zločincov. Členovia červeného tímu (red team) britského poskytovateľa bezpečnostných služieb Jumpsec objavili spôsob, ako cez Microsoft Teams doručiť malvér prostredníctvom účtu mimo cieľovej organizácie.
Zistili, že je pomerne jednoduché zneužiť komunikačnú funkciu platformy pre externé účty. Samotná možnosť, že používatelia s externými profilmi v službe MS Teams môžu priamo kontaktovať ľudí v organizácii, by sa dala zneužiť na sociálne inžinierstvo a phishingové útoky. Spoločnosť Jumpsec však našla ešte účinnejšiu metódu, ktorá umožňuje odoslať škodlivý kód priamo do schránky cieľového používateľa.
Hoci je Microsoft Teams na strane klienta chránený, členovia červeného tímu našli spôsob, ako toto obmedzenie obísť zmenou interného a externého ID príjemcu v požiadavke POST správy. Takto sa im podarilo oklamať systém, aby si myslel, že externý používateľ je v skutočnosti interným zamestnancom. Správa by sa potom v zariadení príjemcu zobrazovala ako správa pochádzajúca z interného účtu, a preto by prípadné následné pokusy o sociálne inžinierstvo neboli podrobené intenzívnej kontrole. Táto metóda, ktorá obchádza existujúce bezpečnostné opatrenia, poskytuje útočníkom jednoduchý spôsob, ako zaviesť kybernetické hrozby do systémov organizácií používajúcich MS Teams.
Príbeh nekončí
Žiaľ, podľa smerníc spoločnosti Microsoft sa táto chyba neklasifikovala ako naliehavá, takže zostala nevyriešená. V reakcii na to člen červeného tímu amerického námorníctva vytvoril nástroj s názvom TeamsPhisher, ktorý tento problém zneužíva.
Nástroj je naprogramovaný v jazyku Python a umožňuje automatizovaný útok, pri ktorom útočník odošle malvér prostredníctvom prílohy spolu so správou a zoznamom cieľov (používateľov služby Teams). Automaticky nahrá prílohu do SharePointu odosielateľa a potom opakovane vykoná akciu pre každý cieľ v zozname. Najprv overí existenciu cieľa a jeho schopnosť prijímať externé správy, ktorá je podmienkou úspešnosti tohto vektora útoku. Potom vytvorí novú konverzáciu s cieľovým používateľom a odošle mu správu s odkazom na SharePoint.
Po spustení útoku nástroj útočníkovi umožňuje overiť zoznam cieľov a skontrolovať vzhľad správy. Problém, vďaka ktorému dokáže TeamsPhisher zneužiť túto platformu, zostáva zo strany spoločnosti Microsoft nevyriešený. Podľa výskumných pracovníkov spoločnosti Jumpsec Microsoft zastáva názor, že hrozba nespĺňala požiadavky potrebné na to, aby mohli byť vykonané okamžité zmierňujúce opatrenia. Hoci bol tento útočný nástroj vytvorený na účely autorizovaných operácií červeného tímu, skutoční útočníci ho mohli využiť na doručenie malvéru do cieľových organizácií bez toho, aby si to niekto všimol.
Naše odporúčanie pre bezpečnejšie používanie cloudových služieb
- Používajte na počítači najnovšiu verziu operačného systému Windows.
- Nikdy slepo nedôverujte prichádzajúcim správam od externých a interných odosielateľov.
- V prípade podozrenia okamžite kontaktujte IT správcu svojej spoločnosti.
- Ak je to možné, vypnite možnosť komunikácie s ľuďmi mimo firmy.
- Používajte spoľahlivé bezpečnostné riešenie.
- Vždy zálohujte súbory.
Ako vás ESET chráni pred takýmito hrozbami?
ESET Cloud Office Security je účinná multitenantná a škálovateľná služba, ktorá chráni celý balík Office 365 vrátane služieb MS Teams, OneDrive a SharePoint Online. Dobrou správou je, že okrem iných funkcií má produkt zabudovanú aj ochranu pred malvérom pre Exchange Online, OneDrive, SharePoint a Teams, ktorá dokáže odhaliť a odstrániť/presunúť do karantény škodlivý súbor odoslaný z prostredia mimo organizácie, čím sa snaha útočníka tváriť sa ako interný používateľ stáva irelevantnou. ECOS kontroluje všetky súbory prenášané cez MS Teams, ako aj súbory, ktoré používatelia chránení týmto bezpečnostným riešením nahrajú do služby SharePoint Online alebo z nej stiahnu.
ECOS je určený pre širokú škálu zákazníkov – od domácich kancelárií až po veľké firmy a poskytovateľov spravovaných služieb. ESET Cloud Office Security je možné spravovať prostredníctvom webovej konzoly, ktorá ponúka zobrazenie podľa používateľov, problémov a skupín.
MS Teams a ďalšie cloudové služby tu budú ešte dlho. Preto je vždy dobré vedieť, ako sa chrániť, a používať dôveryhodné bezpečnostné riešenie. Hrozby sú na vzostupe a budú stále sofistikovanejšie.