Microsoft Teams エクスプロイト ツールを介して配信される自動化されたマルウェア

「TeamsPhisher」と名付けられたこのツールを使用すると、ペネトレーションテスターや攻撃者は外部環境から脅威となるファイルをTeamsユーザーに直接配信できるようになる。

攻撃者は、最近明らかにされた Microsoft Teams の脆弱性を悪用する強力な「TeamsPhisher」ツールにアクセスできるようになりました。このツールは、Teams を使用して組織内の特定のユーザーに破損したファイルを配信するシームレスな方法を提供します。内部と外部の Teams ユーザー間の通信機能を利用することで、攻撃者は従来のフィッシングやソーシャル エンジニアリング戦術を必要とせずに、有害なペイロードを被害者の受信トレイに直接挿入できます。このツールが利用可能になったことで、標的型攻撃が増加する可能性についての懸念が生じ、組織がそのような脅威から保護するためのセキュリティ対策を強化する重要性が強調されています。

前提条件と操作方法

このツールの開発者である米国海軍レッドチームのメンバーであるアレックス・リード氏によると、TeamsPhisher は送信者の Sharepoint に添付ファイルをアップロードし、指定された Teams ユーザーのリストをターゲットにするよう指示される可能性があります。このプロセスには、ツールに添付ファイル、メッセージ、対象ユーザーのリストを提供することが含まれます。その後、TeamsPhisher は、意図されたアクションを実行するために必要な手順を実行します。

TeamsPhisher は、JUMPSEC Labs の研究者 Max Corbridge 氏と Tom Ellson 氏によって最近明らかにされた技術を利用して、Microsoft Teams のセキュリティ制限を克服します。コラボレーション プラットフォームでは、異なる組織のユーザー間の通信が可能ですが、ファイル共有は制限されています。しかし、Corbridge と Ellson は、Insecure Direct Object Reference (IDOR) の脆弱性を特定し、これによりこの制限を効果的に回避できるようになりました。

POST 要求で内部および外部の受信者の ID を操作することで、この方法で送信されたペイロードが送信者の SharePoint ドメインに存在し、受信者の Teams 受信トレイに到達することが判明しました。この脆弱性は、既定の構成で Teams を使用しているすべての組織に影響を及ぼし、攻撃者がフィッシング対策やその他のセキュリティ制御を回避できるようになります。 Microsoft はこの問題を認識しているものの、修正の当面の優先事項ではないとみなしています。そのため、組織は常に警戒を怠らず、この潜在的なセキュリティ リスクを軽減するために事前の対策を講じる必要があります。

Reid の TeamsPhisher ツールは、JUMPSEC、Andrea Santese、Secure Systems Engineering GmbH の技術を組み合わせています。ユーザーの列挙に TeamsEnum を活用し、初期アクセスのメソッドを組み込みます。 TeamsPhisher は、ターゲット ユーザーが外部メッセージを受信できるかどうかを確認し、通常の確認画面をバイパスしてメッセージを受信トレイに直接配信するための新しいスレッドを作成します。新しいスレッドが開始されると、メッセージと Sharepoint 添付リンクがターゲット ユーザーに送信されます。最初のメッセージを送信した後、送信者は Teams GUI で作成されたスレッドを表示して操作し、必要に応じて特定のケースに対処できます。」

情報筋は、発見された脆弱性に対処するアプローチに対する TeamsPhisher のリリースの影響について Microsoft にコメントを求めましたが、返答はまだ得られていません。 JUMPSEC は、Microsoft Teams を使用している組織に対し、内部ユーザーと外部テナント間の通信を可能にする必要性を評価することを推奨しています。 「Teams で外部テナントと定期的に通信しない場合は、セキュリティ管理を強化し、このオプションを完全に無効にすることをお勧めします」と同社はアドバイスしています。

Microsoft Teams エクスプロイト ツールを介して配信される自動化されたマルウェアスクリーンショット