Nebezpečná metoda útoku Microsoft Teams

V minulosti byly škodlivé e-maily běžným způsobem, jak hackeři infikovali podnikové sítě malwarem. V dnešní době stále více společností využívá pro interní komunikaci nástroje pro spolupráci, jako je Microsoft Teams.

Tyto nástroje navíc společnosti stále častěji využívají pro práci na dálku během pandemie COVID-19.

Nyní útočníci rozpoznali potenciál tohoto nástroje (a dalších) a využívají jej k šíření malwaru. Vzhledem k tomu, že zaměstnanci jen zřídka očekávají, že se na ně prostřednictvím těchto kanálů zaměří, bývají méně opatrní než obvykle, což z nich činí snadné cíle.

Tento příspěvek na blogu popisuje, jak útočníci využívají tato zranitelnost a co mohou uživatelé udělat, aby sebe a své organizace před takovými útoky ochránili.

Jak útočí

Microsoft Teams, platforma pro spolupráci, která je součástí Microsoft 365 rodina produktů umožňuje uživatelům provádět audio a video konference, chatovat na více kanálech a sdílet soubory.

Mnoho společností po celém světě přijalo během této pandemie používání Microsoft Teams jako základního nástroje pro vzdálenou spolupráci zaměstnanců.

V chatu kanálu nejsou známy žádné zranitelnosti, které by bylo možné zneužít k vložení malwaru do systému uživatele. Existuje však metoda, kterou lze použít ke škodlivým účelům.

 Microsoft Teams umožňuje sdílení souborů, pokud velikost souboru nepřesahuje 100 MB. Útočník může nahrát jakýkoli soubor do libovolného veřejného kanálu v Microsoft Teams a stáhnout si jej bude moci každý, kdo má ke kanálu přístup.

Od a kybernetická bezpečnost z perspektivy, to zní jako zlatý důl: Z libovolného kanálu Teamu máte přístup ke všem konverzacím a informacím, včetně citlivých informací nebo duševního vlastnictví.

Protože Teams umožňuje přístup ke všem konverzacím napříč různými kanály, které mohou obsahovat velmi citlivé informace nebo duševní vlastnictví. Může také obsahovat citlivé soubory sdílené mezi svými uživateli.

Finančně motivovaní kyberzločinci však mohou také těžit z Teams, protože by mohli být schopni chytit zajímavá data v Teams, která jim může umožnit páchat další podvody, jako je získání informací o kreditních kartách například.

Útočníci prý začínají s cílenými phishingovými e-maily, které obsahují škodlivé odkazy. Pokud na ně kliknou členové organizací, které používají.

Když se útočník pokouší získat přístup k firemnímu systému plánování podnikových zdrojů, jediné, co k přístupu potřebuje, jsou platné přihlašovací údaje jednoho ze zaměstnanců. Běžným způsobem, jak získat takové přihlašovací údaje, je spuštění phishingové kampaně na uživatelích, kteří jsou v cílové organizaci.

Jakmile útočník získá přístup k e-mailovému účtu oběti, může se přihlásit přes Microsoft Teams a poté použít funkci, která uživatelům umožňuje importovat dokumenty z jiných zdrojů.

Útočník pak může nahrát dokument HTML, který obsahuje škodlivý JavaScript, a propojit jej s jiným dokumentem, který se spustí, když jej otevře další zaměstnanci, kteří k němu mají přístup.

Útoky lze také provádět proti uživatelům zakoupením platných přihlašovacích údajů od zprostředkovatele počátečního přístupu nebo prostřednictvím sociálního inženýrství.

Uživatelé infikovaní přes Teams

Útočník má přímý přístup ke všem důvěrným komunikačním kanálům mezi zaměstnanci, zákazníky a partnery. Kromě toho jsou útočníci také schopni číst soukromé chaty a manipulovat s nimi.

Útoky přicházejí ve formě škodlivých e-mailů, které obsahují obrázek faktury. Tento obrázek obsahuje zlomyslně vytvořený hypertextový odkaz, který je neviditelný pouhým okem, ale je aktivní po kliknutí.

Microsoft Teams tu a tam viděl tisíce útoků. Útočník umístí spustitelné škodlivé soubory do různých konverzací Teams. Tyto soubory jsou trojské koně a mohou být velmi škodlivé pro počítačové systémy.

Jakmile je soubor nainstalován na vašem počítači, může být počítač unesen, aby mohl dělat věci, které jste nezamýšleli.

Nevíme, jaký je konečný cíl útočníků. Můžeme jen podezřívat, že chtějí získat více informací o svém cíli nebo plný přístup k počítačům v cílové síti.

Tyto znalosti jim mohly dát schopnost vytáhnout nějaký druh finančního podvodu nebo kyberšpionáže.

Žádná detekce odkazu

Co dělá Microsoft Teams zranitelný je, že jeho infrastruktura není budována s ohledem na bezpečnost. Jako takový nemá systém detekce škodlivých odkazů a má pouze společný modul pro detekci virů.

Protože uživatelé mají tendenci důvěřovat tomu, co je na platformě, kterou jejich společnosti poskytují, mohou být zranitelní vůči sdílení malwaru a nakažení.

Díky překvapivé úrovni důvěry se uživatelé cítí bezpečně při používání nové platformy. Uživatelé mohou být ke svým datům mnohem štědřejší než obvykle.

Útočníci mohou nejen oklamat lidi vložením infikovaných souborů nebo odkazů do chatovacích kanálů, ale mohou také uživatelům posílat soukromé zprávy a oklamat je pomocí dovedností sociálního inženýrství.

Většina uživatelů se nebude starat o ukládání souborů na pevné disky a spouštění antivirových produktů nebo produktů pro detekci hrozeb před otevřením souborů.

Počet kybernetických útoků na denní bázi se bude i nadále zvyšovat, protože se do tohoto typu činnosti zapojí stále více organizací.

Plán ochrany

Pro začátek by uživatelé měli přijmout opatření k ochraně svých e-mailových adres, uživatelských jmen a hesel.

V zájmu pomoci při řešení hrozby týkající se struktury týmu se doporučuje, abyste;

• Povolte dvoufázové ověření na účtech Microsoft, které používáte pro Teams.
• Pokud jsou soubory vynechány do složek Teams, přidejte do těchto souborů větší zabezpečení. Odešlete jejich hash do VirusTotal, abyste se ujistili, že se nejedná o škodlivé kódy.
• Přidejte další zabezpečení pro odkazy sdílené v Teams a ujistěte se, že používáte renomované služby kontroly odkazů.
• Ujistěte se, že si zaměstnanci uvědomují rizika spojená s používáním komunikačních a sdílených platforem.

Používá vaše organizace týmy Microsoft? Zažil někdo kybernetické útoky na platformě? Podělte se o své názory v sekci komentářů.