- Bejelentés érkezett a Microsoft Teams elleni, vállalati felhasználókat célzó kibertámadásokról.
- A Teams platform eléréséhez a támadónak érvényes hitelesítő adatokra van szüksége a megcélzott entitás egyik alkalmazottjától.
- A felhasználóknak ezért gondoskodniuk kell e-mail hitelesítő adataik biztonságáról.
A múltban a rosszindulatú e-mailek gyakori módja volt a hackereknek, hogy megfertőzzék a vállalati hálózatokat rosszindulatú programokkal. Manapság egyre több vállalat használ olyan együttműködési eszközöket, mint a Microsoft Teams belső kommunikációra.
Ezenkívül a cégek egyre gyakrabban használják ezeket az eszközöket távoli munkára a COVID-19 világjárvány idején.
Mostanra a támadók felismerték ebben az eszközben (és másokban) rejlő lehetőségeket, és rosszindulatú programok terjesztésére használják. Mivel az alkalmazottak ritkán számítanak arra, hogy megcélozzák őket ezeken a csatornákon keresztül, a szokásosnál kevésbé óvatosak, ami könnyen célponttá teszi őket.
Ez a blogbejegyzés leírja, hogy a támadók hogyan használják ki ezeket a biztonsági réseket, és mit tehetnek a felhasználók, hogy megvédjék magukat és szervezeteiket az ilyen támadásokkal szemben.
Hogyan támadnak
A Microsoft Teams, egy együttműködési platform, amelyet a Microsoft 365 termékcsalád lehetővé teszi a felhasználók számára audio- és videokonferenciák lebonyolítását, több csatornán keresztüli csevegést és fájlok megosztását.
Világszerte sok vállalat elfogadta a Microsoft Teams használatát a távoli alkalmazottak együttműködésének alapvető eszközeként a járvány idején.
Nincsenek ismert sebezhetőségek a csatorna-csevegésben, amelyet kihasználva rosszindulatú programokat lehetne bejuttatni a felhasználó rendszerébe. Létezik azonban egy módszer, amely rosszindulatú célokra használható.
A Microsoft Teams addig engedélyezi a fájlmegosztást, amíg a fájl mérete nem haladja meg a 100 MB-ot. A támadó bármilyen fájlt feltölthet a Microsoft Teams bármely nyilvános csatornájára, és bárki, aki hozzáfér a csatornához, letöltheti azt.
A kiberbiztonság perspektívából úgy hangzik, mint egy aranybánya: bármelyik csapatcsatornáról hozzáférhet az összes beszélgetéshez és információhoz, beleértve az érzékeny információkat vagy a szellemi tulajdont.
Mivel a Teams lehetővé teszi, hogy hozzáférjen az összes olyan beszélgetéshez a különböző csatornákon keresztül, amelyek nagyon érzékeny információkat vagy szellemi tulajdont tartalmazhatnak. Ezenkívül a felhasználók között megosztott érzékeny fájlokat is tartalmazhat.
Ám az anyagilag motivált kiberbűnözők is profitálhatnak a Teamsből, mert esetleg elkaphatják érdekes adatok a Teamsben, amelyek lehetővé teszik számukra, hogy több csalást kövessenek el, például hitelkártyaadatok megszerzését például.
A támadók állítólag célzott adathalász e-mailekkel kezdik, amelyek rosszindulatú hivatkozásokat tartalmaznak. Ha ezekre kattintanak a használó szervezetek tagjai.
Amikor egy támadó megpróbál hozzáférni egy vállalat vállalati erőforrás-tervezési rendszeréhez, a hozzáféréshez csak az egyik alkalmazott érvényes hitelesítő adataira van szükség. Az ilyen hitelesítő adatok megszerzésének általános módja az adathalász kampány futtatása a célszervezethez tartozó felhasználókon.
Miután a támadó hozzáfért az áldozat e-mail fiókjához, bejelentkezhet a Microsoft Teams szolgáltatáson keresztül, majd használhatja azt a szolgáltatást, amellyel a felhasználók más forrásokból importálhatnak dokumentumokat.
A támadó ezután feltölthet egy rosszindulatú JavaScriptet tartalmazó HTML-dokumentumot, és összekapcsolhatja azt egy másik dokumentummal, amely akkor fut le, amikor más, hozzáférő alkalmazottak megnyitják.
A felhasználók ellen támadások is végrehajthatók, ha érvényes hitelesítési adatokat vásárolnak egy kezdeti hozzáférési közvetítőtől, vagy szociális manipulációval.
Teams-en keresztül fertőzött felhasználók
A támadó közvetlenül hozzáférhet az alkalmazottak, ügyfelek és partnerek közötti bizalmas kommunikációs csatornákhoz. Ezenkívül a támadók a privát chateket is képesek olvasni és manipulálni.
A támadások rosszindulatú e-mailek formájában jelentkeznek, amelyek egy számladokumentum képét tartalmazzák. Ez a kép egy rosszindulatú hivatkozást tartalmaz, amely szabad szemmel nem látható, de aktív, ha rákattint.
Microsoft Teams időnként több ezer támadást látott. A támadó különböző Teams-beszélgetésekbe dobja a végrehajtható rosszindulatú fájlokat. Ezek a fájlok trójaiak, és nagyon rosszindulatúak lehetnek a számítógépes rendszerek számára.
Amint a fájl telepítve van a számítógépére, a számítógépet feltörhetik, hogy olyan dolgokat tegyen, amelyekre nem állt szándékában.
Nem tudjuk, mi a támadók végső célja. Csak gyaníthatjuk, hogy több információt szeretnének szerezni célpontjukról, vagy teljes hozzáférést szeretnének elérni a megcélzott hálózat számítógépeihez.
Ez a tudás lehetővé tehette számukra, hogy valamilyen pénzügyi csalást vagy kiberkémkedést hajtsanak végre.
Nincs linkészlelés
Mitől A Microsoft Teams sebezhető az, hogy infrastruktúráját nem a biztonság szem előtt tartásával építették. Mint ilyen, nem rendelkezik rosszindulatú hivatkozás-észlelő rendszerrel, és csak egy közös víruskereső motorral rendelkezik.
Mivel a felhasználók hajlamosak megbízni abban, ami a vállalataik platformján található, ki vannak téve a rosszindulatú programok megosztásának és a fertőzéseknek.
A bizalom meglepő szintje miatt a felhasználók biztonságban érzik magukat az új platform használatában. A felhasználók sokkal nagyvonalúbbak lehetnek az adataikkal, mint általában lennének.
A támadók nemcsak becsaphatják az embereket azáltal, hogy fertőző fájlokat vagy linkeket helyeznek el a csevegőcsatornákba, hanem privát üzeneteket is küldhetnek a felhasználóknak, és becsaphatják őket szociális mérnöki készségekkel.
A legtöbb felhasználó nem törődik azzal, hogy a fájlokat a merevlemezére mentse, és a fájlok megnyitása előtt víruskereső vagy fenyegetésészlelő termékeket futtasson rajtuk.
A napi szintű kibertámadások száma tovább fog növekedni, ahogy egyre több szervezet vesz részt az ilyen jellegű tevékenységben.
Védelmi terv
Kezdetben a felhasználóknak óvintézkedéseket kell tenniük e-mail címük, felhasználónevük és jelszavaik védelme érdekében.
A csapatszerkezeti fenyegetés kezelésének elősegítése érdekében azt javasoljuk, hogy;
- Engedélyezze a kétlépcsős azonosítást a Teamshez használt Microsoft-fiókokban.
- Ha a fájlok a Teams mappáiba kerülnek, növelje a fájlok biztonságát. Küldje el kivonataikat a VirusTotalnak, hogy megbizonyosodjon arról, hogy nem rosszindulatú kódokról van szó.
- Adjon extra biztonságot a Teamsben megosztott hivatkozásokhoz, és ügyeljen arra, hogy jó hírű linkellenőrző szolgáltatásokat használjon.
- Győződjön meg arról, hogy az alkalmazottak tisztában vannak a kommunikációs és megosztási platformok használatával járó kockázatokkal.
Az Ön szervezete használ Microsoft csapatokat? Tapasztalt valaki kibertámadást a platformon? Ossza meg nézeteit a megjegyzések részben.
