Farlig Microsoft Teams angrepsmetode

Tidligere var ondsinnede e-poster en vanlig måte for hackere å infisere bedriftsnettverk med skadelig programvare. I dag bruker stadig flere bedrifter samarbeidsverktøy som Microsoft Teams for intern kommunikasjon.

I tillegg blir disse verktøyene i økende grad brukt av selskaper til fjernarbeid under COVID-19-pandemien.

Nå har angripere anerkjent potensialet til dette verktøyet (og andre) og bruker det til å spre skadelig programvare. Fordi ansatte sjelden forventer å bli målrettet gjennom disse kanalene, har de en tendens til å være mindre forsiktige enn vanlig, noe som gjør dem til enkle mål.

Dette blogginnlegget beskriver hvordan angripere utnytter disse sårbarhetene og hva brukere kan gjøre for å beskytte seg selv og sine organisasjoner mot slike angrep.

Hvordan de angriper

Microsoft Teams, en samarbeidsplattform inkludert i Microsoft 365 familie av produkter, lar brukere holde lyd- og videokonferanser, chatte i flere kanaler og dele filer.

Mange selskaper rundt om i verden har tatt i bruk Microsoft Teams som kjerneverktøyet for deres eksterne medarbeidersamarbeid under denne pandemien.

Det er ingen kjente sårbarheter i kanalchatten som kan utnyttes til å injisere skadelig programvare i en brukers system. Det finnes imidlertid en eksisterende metode som kan brukes til ondsinnede formål.

 Microsoft Teams tillater fildeling så lenge filstørrelsen ikke overstiger 100 MB. En angriper kan laste opp hvilken som helst fil til en hvilken som helst offentlig kanal i Microsoft Teams, og alle som har tilgang til kanalen vil kunne laste den ned.

Fra en cybersikkerhet perspektiv, det høres ut som en gullgruve: Fra en hvilken som helst Team-kanal kan du få tilgang til alle samtaler og informasjon, inkludert sensitiv informasjon eller åndsverk.

Siden Teams lar deg få tilgang til alle samtaler på tvers av forskjellige kanaler som kan inneholde svært sensitiv informasjon eller åndsverk. Den kan også inneholde sensitive filer som deles mellom brukerne.

Men økonomisk motiverte nettkriminelle kan også dra nytte av Teams, siden de kanskje kan fange interessante data i Teams, som kan tillate dem å begå mer svindel, som å få kredittkortinformasjon for eksempel.

Angriperne sies å begynne med målrettede phishing-e-poster som inneholder ondsinnede lenker. Hvis de klikkes på av medlemmer av organisasjoner som bruker.

Når en angriper prøver å få tilgang til et selskaps virksomhetsressursplanleggingssystem, er det eneste som trengs for tilgang gyldig legitimasjon for en av de ansatte. En vanlig måte å få slik legitimasjon på er å kjøre en phishing-kampanje på brukere som er i målorganisasjonen.

Når en angriper har fått tilgang til et offers e-postkonto, kan de logge på via Microsoft Teams og deretter bruke funksjonen som lar brukere importere dokumenter fra andre kilder.

Angriperen kan deretter laste opp et HTML-dokument som inneholder skadelig JavaScript og koble det til et annet dokument som vil kjøre når det åpnes av andre ansatte som har tilgang til det.

Angrep kan også utføres mot brukere ved å kjøpe gyldig legitimasjon fra en innledende tilgangsmegler eller gjennom social engineering.

Brukere infisert via Teams

Angriperen kan få direkte tilgang til alle konfidensielle kommunikasjonskanaler mellom ansatte, kunder og partnere. I tillegg er angriperne også i stand til å lese og manipulere private chatter.

Angrepene kommer i form av ondsinnede e-poster som inneholder et bilde av et fakturadokument. Dette bildet inneholder en ondsinnet hyperkobling som er usynlig for det blotte øye, men som er aktiv når den klikkes.

Microsoft Teams har sett tusenvis av angrep nå og da. Angriperen slipper kjørbare ondsinnede filer inn i forskjellige Teams-samtaler. Disse filene er trojanere og kan være svært skadelige for datasystemer.

Når filen er installert på datamaskinen din, kan datamaskinen kapres for å gjøre ting du ikke hadde tenkt å gjøre.

Vi vet ikke hva angripernes endelige mål er. Vi kan bare mistenke at de ønsker å få mer informasjon om målet sitt, eller full tilgang til datamaskiner i det målrettede nettverket.

Denne kunnskapen kan ha gitt dem muligheten til å utføre en form for økonomisk svindel eller nettspionasje.

Ingen koblingsdeteksjon

Hva gjør Microsoft Teams sårbare er at infrastrukturen ikke er bygget med sikkerhet i tankene. Som sådan har den ikke et ondsinnet koblingsdeteksjonssystem og har bare en felles virusdeteksjonsmotor.

Fordi brukere har en tendens til å stole på det som er på plattformen selskapene deres tilbyr, kan de være sårbare for å dele skadelig programvare og bli infisert.

Et overraskende nivå av tillit gjør at brukerne føler seg trygge på å bruke en ny plattform. Brukere kan være mye mer sjenerøse med dataene sine enn de vanligvis ville vært.

Angripere kan ikke bare lure folk ved å sette infiserte filer eller lenker i chattekanaler, men de kan også sende private meldinger til brukere og lure dem med ferdigheter innen sosial ingeniørkunst.

De fleste brukere vil ikke bry seg om å lagre filene på harddiskene og kjøre antivirus- eller trusseldeteksjonsprodukter på dem før de åpner filene.

Antallet cyberangrep på daglig basis vil fortsette å øke etter hvert som flere organisasjoner blir involvert i denne typen aktivitet.

Verneplan

For det første bør brukere ta forholdsregler for å beskytte sine e-postadresser, brukernavn og passord.

For å hjelpe til med å håndtere trusselen om teamstruktur, foreslås det at du;

• Aktiver totrinnsverifisering på Microsoft-kontoene du bruker for Teams.
• Hvis filer slippes i Teams-mappene, legg til mer sikkerhet til disse filene. Send hashen til VirusTotal for å sikre at de ikke er skadelige koder.
• Legg til ekstra sikkerhet for lenker som deles på Teams, og sørg for å bruke anerkjente lenkesjekkingstjenester.
• Sørg for at ansatte er klar over risikoene ved bruk av kommunikasjons- og delingsplattformer.

Bruker organisasjonen din Microsoft-team? Har noen opplevd cyberangrep på plattformen? Del dine synspunkter i kommentarfeltet.