I ricercatori di sicurezza di Proofpoint hanno scoperto diversi nuovi modi per abusare efficacemente di Microsoft Teams tramite varie tecniche di social engineering. Queste tecniche consentono ai threat actor di eseguire in modo efficace il phishing delle credenziali di Office 365, fornire eseguibili dannosi ed espandere la propria presenza all’interno di un ambiente cloud compromesso.
I ricercatori hanno analizzato oltre 450 milioni di sessioni dannose, rilevate durante la seconda metà del 2022 e mirate ai tenant cloud di Microsoft 365. I dati hanno mostrato che Microsoft Teams è una delle dieci applicazioni di accesso più mirate, con quasi il 40% delle organizzazioni prese di mira che hanno almeno un tentativo di accesso non autorizzato nel tentativo di ottenere l’accesso.
La prima delle tecniche osservate dal team utilizzava le schede come un vettore di attacco potente e ampiamente automatizzato, a seguito di una compromissione dell’account.
La piattaforma Microsoft Teams – spiegano i ricercatori – fornisce un meccanismo di messaggistica personale e di gruppo, tramite canali o chat di Teams. Ogni canale o chat può contenere schede aggiuntive create da diverse applicazioni. Di solito, gli utenti possono rinominare le schede come preferiscono, purché il nuovo nome non si sovrapponga al nome di una scheda esistente. Inoltre, si suppone che gli utenti non possano riposizionare le schede in modo da posizionarle prima delle schede predefinite.
Tuttavia, il team ha scoperto che utilizzando chiamate API Teams non documentate, le schede possono essere riordinate e rinominate in modo che la scheda originale possa essere scambiata con una nuova scheda personalizzata.
Un modo in cui questa “funzionalità” apparentemente benigna può essere sfruttata dagli attaccanti consiste nell’utilizzare un’app nativa, “Sito Web”, che consente agli utenti di aggiungere un sito Web scelto come scheda nella parte superiore di un canale o di una chat di Teams.
Dopo aver bloccato un’istanza “Sito Web” come scheda, un utente malintenzionato può manipolare il nome della scheda, modificandolo con il nome di una scheda esistente e quindi riposizionandolo, consentendogli di spingere la scheda nativa fuori dalla vista e quindi aumentare le possibilità di utilizzare la scheda fraudolenta.
Questa nuova scheda può essere usata per puntare a un sito dannoso, ad esempio una pagina Web di phishing che si spaccia per una pagina di accesso a Microsoft 365. Ciò potrebbe essere molto allettante per gli aggressori, visto che, in base alla progettazione, l’URL di una scheda del sito Web non viene visualizzato agli utenti a meno che non visitino deliberatamente il menu “Impostazioni” della scheda.
Nonostante le best practice per la sicurezza del browser istruiscano gli utenti a esaminare attentamente gli indicatori chiave (come la barra degli URL) e a non fare clic su collegamenti sospetti, in questo caso tutte queste istruzioni sono irrilevanti in quanto Teams non fornisce una barra degli URL visibile. Pertanto, è improbabile che le vittime ignare si accorgano che la pagina Web a cui accedono è, in realtà, dannosa.
Queste funzionalità pericolose permettono agli aggressori di inserire senza alcun problema contenuti dannosi all’interno di ambienti Microsoft 365 compromessi, con un rischio minimo di esposizione.
Un altro modo per abusare facilmente degli stessi meccanismi è utilizzare la scheda Sito Web per puntare a un file, facendo sì che Teams (desktop o client Web) scarichi automaticamente il file sul dispositivo dell’utente, posizionando potenzialmente dropper dannosi all’interno dei dispositivi e delle reti aziendali delle vittime.
Le schede non sono l’unica funzionalità di Teams aperta allo sfruttamento e all’abuso da parte di malintenzionati. La piattaforma Microsoft Teams può anche sincronizzarsi con il calendario di un utente per visualizzare, creare e modificare le riunioni programmate. Per impostazione predefinita, quando si crea una riunione online di Teams, vengono generati e inviati diversi collegamenti all’interno della descrizione della riunione che consentono agli utenti di partecipare alla riunione online o scaricare il client desktop di Teams.
Mentre di solito un utente malintenzionato avrebbe bisogno di accedere a Outlook o Microsoft Exchange per manipolare il contenuto di un invito a una riunione, una volta che gli aggressori ottengono l’accesso all’account Teams di un utente, possono manipolare gli inviti alla riunione utilizzando le chiamate API di Teams, scambiando collegamenti predefiniti benigni con quelli dannosi.
La simulazione dei ricercatori ha mostrato come un utente malintenzionato sofisticato può modificare automaticamente i collegamenti predefiniti all’interno di un invito a una riunione in modo che gli utenti, sia all’esterno che all’interno dell’organizzazione, vengano indirizzati a pagine di phishing o a siti che ospitano malware, causando così un immediato download di malware che si presentano come file di installazione di Teams.
Un altro approccio che gli aggressori possono utilizzare, dato l’accesso al token Teams di un utente, sta utilizzando l’API o l’interfaccia utente di Teams per armare i collegamenti esistenti nei messaggi inviati. Ciò potrebbe essere fatto semplicemente sostituendo i collegamenti innocui con collegamenti che puntano a siti Web nefasti o risorse dannose. In questo scenario, il collegamento ipertestuale presentato non verrebbe modificato.
Dato che l’API di Teams consente l’enumerazione e la modifica rapide e automatiche dei collegamenti inclusi nei messaggi di chat privati o di gruppo, un semplice script eseguito dagli aggressori potrebbe armare innumerevoli URL in pochi secondi. Successivamente, un sofisticato threat actor potrebbe utilizzare tecniche di social engineering e inviare nuovi messaggi, incoraggiando gli utenti ignari a fare clic (o “visitare nuovamente”) il collegamento modificato e ora armato.
I ricercatori sottolineano che è importante notare che i suddetti metodi di abuso richiedono l’accesso preesistente a un account utente compromesso o token di Teams. Ciononostante, circa il 60% dei tenant di Microsoft 365 ha subito almeno un incidente di acquisizione di account riuscito nel 2022. Di conseguenza, la potenziale proliferazione di questi metodi fornirebbe agli aggressori possibilità effettive di movimento laterale post-compromissione.
Gli attacchi passati e le tendenze in corso all’interno del panorama dinamico delle minacce cloud indicano che gli aggressori si orientano progressivamente verso vettori di attacco più avanzati. L’adozione di nuove tecniche e strumenti di attacco, se combinata con apparenti falle di sicurezza, incluse funzionalità pericolose nelle app, espone le organizzazioni a una varietà di rischi critici.
I threat actor cercano costantemente nuovi modi per rubare le credenziali degli utenti e ottenere l’accesso agli account degli utenti. Microsoft Teams potrebbe essere sfruttato come piattaforma per varie forme di attacchi cloud poiché è un’applicazione cloud legittima e popolare, concludono i ricercatori.