Güvenlik araştırmacıları, Microsoft Teams üzerinden dış kaynaklı dosyalara kısıtlama getirilmesine rağmen, bir kuruluşa kolayca kötü amaçlı yazılım bulaştırmanın basit bir yolunu buldular.
Aylık 280 milyon aktif kullanıcıya sahip olan Microsoft Teams, iletişim ve işbirliği platformu olarak Microsoft 365 bulut tabanlı hizmetlerinin bir parçası olarak birçok kuruluş tarafından benimsenmiştir.
Çeşitli kuruluşların bu ürüne olan ilgisi göz önüne alındığında, İngiltere merkezli güvenlik hizmetleri şirketi Jumpsec’in Red Team üyeleri Max Corbridge ve Tom Ellson, hedef kuruluş dışında bir hesap kullanarak Microsoft Teams üzerinden kötü amaçlı yazılım dağıtma yolunu keşfettiler.
Saldırı Detayları
Saldırı, varsayılan yapılandırmada çalışan Microsoft Teams ile çalışır ve genellikle “harici kiracılar” olarak adlandırılan şirket dışındaki Microsoft Teams hesaplarıyla iletişime izin verir.
Corbridge, bir raporda, bu iletişim köprüsünün sosyal mühendislik ve kimlik avı saldırıları için yeterli olabileceğini açıklarken, buldukları yöntemin daha güçlü olduğunu, çünkü hedef bir gelen kutusuna doğrudan kötü amaçlı bir yük göndermeyi mümkün kıldığını belirtiyor.
Microsoft Teams, harici kiracı hesaplarından dosya teslimini engellemek için istemci tarafı korumaları içerir. Ancak, iki Jumpsec Red Team üyesi, bir mesajın POST isteğindeki iç ve dış alıcı kimliklerini değiştirerek bu kısıtlamayı aşabileceklerini keşfettiler, böylece sistem bir harici kullanıcıyı bir iç kullanıcı gibi ele alır.
“Ayarlardaki gibi yükü gönderirken, aslında bir SharePoint alanında barındırılıyor ve hedef bunu oradan indiriyor. Ancak hedef gelen kutusunda bir dosya olarak, bir bağlantı olarak görünüyor.” – Jumpsec Labs
Araştırmacılar bu tekniği sahada test ettiler ve bir gizli kırmızı takım görevinin bir parçası olarak bir hedef kuruluşun gelen kutusuna başarılı bir şekilde bir komut ve kontrol yükü göndermeyi başardılar.
Bu saldırı, mevcut güvenlik önlemlerini ve kimlik avı eğitim tavsiyelerini atlatacak şekilde tasarlandığından, varsayılan yapılandırmada Microsoft Teams kullanan herhangi bir kuruluşu enfekte etmenin oldukça kolay bir yolunu saldırganlara sunmaktadır. Dahası, saldırgan hedef kuruluşla ilgili bir alanı Microsoft 365 üzerinde kaydettirirse, mesajlarının kuruluş içinden biri gibi görünmesini sağlayabilir ve harici bir kiracıdan değil, bu da hedefin dosyayı indirme olasılığını artırır.
Microsoft’un Tepkisi
Araştırmacılar bulgularını Microsoft’a bildirdiler ve etkinin yeterince önemli olduğunu düşünerek, teknoloji devinden hemen bir yanıt beklediler.
Microsoft, hatanın varlığını doğruladı, ancak yanıtta “hemen onarım için yeterli değil” ifadesini kullanarak, şirketin bunu düzeltme konusunda bir aciliyet görmediğini belirtti. Microsoft Teams kullanan ve harici kiracılarla düzenli iletişim sağlamak istemeyen kuruluşlar için önerilen eylem, “Microsoft Teams Yönetim Merkezi > Harici Erişim” bölümünden bu özelliği devre dışı bırakmaktır.
Harici iletişim kanallarının sürdürülmesi gerekiyorsa, kuruluşlar riski azaltmak için belirli alanları izin listesine ekleyebilirler.
Jumpsec araştırmacıları ayrıca, saldırıların gerçekleştiği sırada yardımcı olabilecek yazılımın günlüklerine harici kiracıyla ilgili olayları eklemek için bir talep gönderdiler.
Kaynak: bleepingcomputer.com
