Kdybyste měli uvést jednu věc, která v posledních letech změnila způsob komunikace na pracovišti, byl by to MS Teams – cloudová platforma pro firemní komunikaci od společnosti Microsoft.
Obliba tohoto softwaru prudce vzrostla během pandemie, kdy Microsoft Teams využívaly ke každodenní pracovní komunikaci nejen firmy, ale i univerzity, školy a další organizace. V roce 2023 se měsíční počet aktivních uživatelů této platformy vyšplhal na 280 milionů, přičemž většina uživatelů je v produktivním věku. MS Teams a mnoho aplikací, které jsou součástí této platformy, nedávno čelily vlastnímu zúčtování s kybernetickou bezpečností. To dokazuje, že cloudová bezpečnostní řešení jsou důležitější než kdykoli předtím.
Jak doručit malware do společnosti prostřednictvím MS Teams?
Vzhledem k rostoucímu počtu uživatelů této platformy přitahuje MS Teams pozornost nejen odborníků na kybernetickou bezpečnost, ale také kyberútočníků. Členové červeného týmu britského poskytovatele bezpečnostních služeb Jumpsec objevili způsob, jak doručit malware do společnosti pomocí Microsoft Teams. Zjistili, že je poměrně snadné zneužít komunikační funkci platformy pro externí účty. Samotná možnost přímého kontaktování lidí v organizaci externími profily mohla být zneužita k útokům sociálního inženýrství a phishingu, ale Jumpsec našel ještě účinnější metodu, která umožňuje odeslání škodlivého payloadu přímo do schránky cílového uživatele.
Přestože je Microsoft Teams chráněný na straně klienta, členové červeného týmu našli způsob, jak toto omezení obejít změnou interního a externího ID příjemce v požadavku POST zprávy. Tímto způsobem se jim podařilo oklamat systém, aby si myslel, že externí uživatel je ve skutečnosti interním zaměstnancem. Zpráva by se pak v zařízení příjemce zobrazovala jako pocházející z interního účtu. Případné následné pokusy o útoky metodami sociálního inženýrství by proto nemusely být podrobeny důkladné kontrole. Tato metoda obcházející existující bezpečnostní opatření poskytuje útočníkům snadný způsob, jak ohrozit kyberbezpečnost organizací využívajících MS Teams.
Nástroj pro zneužití zranitelnosti
Bohužel podle vyjádření společnosti Microsoft není tato chyba klasifikována jako naléhavá a zůstala nevyřešena. V reakci na to člen červeného týmu amerického námořnictva zveřejnil nástroj s názvem TeamsPhisher, který tento problém zneužívá.
Nástroj je naprogramovaný v jazyce Python a umožňuje automatizovaný útok, při kterém útočník odešle malware prostřednictvím přílohy doplněné o zprávu a seznam cílů (uživatelů služby MS Teams). Automaticky nahraje přílohu do SharePointu odesílatele, a poté opakuje akci pro každý cíl v seznamu. Nejprve ověří existenci cíle a jejich schopnost přijímat externí zprávy. To je podmínka pro úspěšné spuštění útoku. Poté vytvoří novou konverzaci s cílovým uživatelem a odešle zprávu s odkazem na SharePoint. Po spuštění útoku poskytne nástroj útočníkovi možnost ověřit seznam cílů a zkontrolovat vzhled zprávy.
Problém, který umožňuje nástroji TeamsPhisher zneužití platformy Teams zůstává na straně společnosti Microsoft nevyřešen. Podle odborníků ze společnosti Jumpsec Microsoft zastává názor, že hrozba nesplňuje potřebné požadavky na to, aby mohla být vykonána okamžitá nápravná opatření. Nicméně, i když byl útočný nástroj vytvořen pro autorizované operace červeného týmu, kyberzločinci ho mohou využít k doručení malwaru do cílových organizací bez toho, aby si někdo všiml.
Bezpečnostní doporučení pro používání cloudových služeb:
|
Jak včas detekovat a blokovat malware v Microsoft Teams?
ESET Cloud Office Security (ECOS) je účinná multitenantní a škálovatelná služba, která chrání celý balík Microsoft Office 365 včetně MS Teams, OneDrive a SharePoint Online. Dobrou zprávou je, že kromě dalších funkcí má produkt vestavěnou ochranu proti malwaru pro Exchange Online, OneDrive, SharePoint a Teams, která dokáže odhalit a odstranit / přesunout do karantény škodlivý soubor zaslaný oběti z prostředí mimo organizaci, čímž je snaha útočníka tvářit se jako interní uživatel irelevantní. ECOS skenuje všechny soubory přenášené prostřednictvím aplikace Teams včetně souborů, které uživatelé chráněni tímto bezpečnostním řešením nahrávají do služby SharePoint Online nebo z ní stahují.
ECOS je určený pro širokou škálu zákazníků, od SoHo až po velké podniky a MSP. ESET Cloud Office Security lze spravovat prostřednictvím webové konzole, která nabízí zobrazení podle uživatelů, problémů a skupin.
Microsoft Teams a další cloudové služby tu s námi budou ještě dlouho. Proto je vždy dobré vědět, jak se chránit, a používat důvěryhodné bezpečnostní řešení. Kybernetické hrozby jsou na vzestupu a budou stále sofistikovanější. O posledních trendech ve vývoji hrozeb v roce 2023, si přečtěte v našem reportu.
