Een door de cybersecurityexperts ontwikkelde tool gebruikt een kwetsbaarheid in Microsoft Teams voor het verspreiden van malware naar eindgebruikers.
Het Red Team van de US Navy heeft onlangs de tool TeamsPhisher ontwikkeld, waarmee het via een kwetsbaarheid in Microsoft Teams malware kan verspreiden. De gebruikte securitykwetsbaarheid maakt het mogelijk restricties te omzeilen voor binnenkomende bestanden van gebruikers buiten een organisatie, de zogenoemde external tenants.
De beschermingsfeatures aan de client-side kunnen worden gemanipuleerd om een externe gebruiker als een interne te behandelen. Dit kan simpel door het ID in het POST-verzoek van een bericht te veranderen. Vervolgens kunnen zonder de restricties voor externe deelnemers bestanden worden verstuurd die malware bevatten.
Deze kwetsbaarheid werd vorige maand al ontdekt door onderzoekers van Jumpsec en is nog niet door Microsoft aangepakt.
Werking TeamPhisher
De op Python gebaseerde tool TeamPhisher maakt volautomatische aanvallen mogelijk. Hackers geven de tool een attachment, een bericht en een deelnemerslijst van Teams-gebruikers die moeten worden aangevallen, waarna TeamPhisher automatisch het attachment naar de Sharepoint-omgeving van de verzender uploadt.
Vervolgens verifieert TeamPhisher eerst het bestaan van de te hacken eindgebruikers en of zij externe berichten kunnen ontvangen. Dit is een vereiste voor de hackmethode om te werken.
Er wordt daarna een nieuwe chat of thread met deze eindgebruikers opgezet en een bericht verstuurd met het Sharepoint-attachment. De thread of chat verschijnt in de Teams-interface van de slachtoffers voor mogelijk handmatige interactie.
Reactie Microsoft
In een reactie tegenover BleepingComputer geeft Microsoft aan dat hetgeen haast maakt deze kwetsbaarheid op te lossen omdat gebruikers vooral door social engineering kwetsbaar zijn.
De techgigant raadt eindgebruikers aan te allen tijde goed computergedrag na te streven, zoals nadenken over het klikken op links en openen van onbekende bestanden.