Falha no Microsoft Teams permite entrega de malware por meio de contas externas
23 de Junho de 2023

Pesquisadores de segurança descobriram uma maneira simples de enviar malware para uma organização usando o Microsoft Teams, apesar das restrições da aplicação para arquivos de fontes externas.

Com 280 milhões de usuários ativos mensais, o Microsoft Teams tem sido adotado por organizações como plataforma de comunicação e colaboração como parte dos serviços baseados em nuvem do Microsoft 365.

Dada a popularidade do produto com várias organizações, Max Corbridge e Tom Ellson - membros da red team da empresa de serviços de segurança baseada no Reino Unido Jumpsec, investigaram e descobriram uma maneira de enviar malware usando o Microsoft Teams com uma conta fora da organização-alvo.

O ataque funciona com o Microsoft Teams executando a configuração padrão, que permite a comunicação com contas do Microsoft Teams fora da empresa, geralmente referidas como "locatários externos".

Corbridge explica em um relatório que, embora esta ponte de comunicação seja suficiente para ataques de engenharia social e phishing, o método que eles encontraram é mais poderoso, pois permite enviar um payload malicioso diretamente para uma caixa de entrada-alvo.

O Microsoft Teams possui proteções do lado do cliente para bloquear a entrega de arquivos de contas de locatários externos.

No entanto, os dois membros da red team da Jumpsec descobriram que poderiam contornar a restrição alterando o ID do destinatário interno e externo na solicitação POST de uma mensagem, enganando o sistema para tratar um usuário externo como interno.

Os pesquisadores testaram a técnica no campo e conseguiram entregar com sucesso um payload de comando e controle na caixa de entrada de uma organização-alvo, como parte de um engajamento de de red team.

Este ataque contorna as medidas de segurança existentes e os conselhos de treinamento anti-phishing, oferecendo aos atacantes uma maneira bastante fácil de infectar qualquer organização usando o Microsoft Teams com sua configuração padrão.

Além disso, se o atacante registrar um domínio semelhante ao das organizações-alvo no Microsoft 365, suas mensagens podem ser feitas para parecer que vêm de alguém dentro da organização, e não de um locatário externo, aumentando assim a probabilidade de o alvo baixar o arquivo.

Os pesquisadores relataram suas descobertas à Microsoft, presumindo que o impacto fosse significativo o suficiente para garantir uma resposta imediata da gigante da tecnologia.

Embora a Microsoft tenha confirmado a existência da falha, a resposta foi que "não atende ao nível de serviço imediato", o que significa que a empresa não vê urgência em corrigi-la.

O BleepingComputer também entrou em contato com a Microsoft para perguntar quando eles planejam corrigir o problema e se sua gravidade foi reconsiderada, mas não recebemos resposta até o momento da publicação.

A ação recomendada para organizações que usam o Microsoft Teams e não precisam manter comunicação regular com locatários externos é desativar esse recurso em "Microsoft Teams Admin Center> Acesso externo".

Se for necessário manter canais externos de comunicação, as organizações podem definir domínios específicos em uma lista de permissões para reduzir o risco de exploração.

Os pesquisadores da Jumpsec também enviaram um pedido para adicionar eventos relacionados a locatários externos no registro do software, o que poderia ajudar a impedir ataques conforme eles acontecem, por isso vote se você quiser contribuir para pressionar a Microsoft a tomar medidas.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...