Útok zneužívá výchozí konfigurace Teams, které umožňují přijímat komunikaci od externích účtů, které jsou mimo danou společnost.
Výzkumníci ve své zprávě uvádějí, že zmíněný exploit lze zneužít pro útoky typu sociálního inženýrství a phishingu, ale také k odeslání malwarových souborů do jiné schránky. Jde to i navzdory skutečnosti, že Teams jsou vybaveny ochranou, blokující soubory od externích účtů.
Experti objevili způsob, jak tato omezení obejít změnou ID příjemce v požadavku zprávy. Teams poté považuj i externí účty za interní.
V průběhu testů se podařilo úspěšně doručit do schránky příchozí pošty jiné organizace command and control payload, tedy kód, který stáhne potřebný software a naváže komunikaci se vzdálenými servery pro řízení a kontrolu následných operací.
Microsoft nepovažuje zranitelnost za kritickou: termín opravné záplaty prozatím není
Útočníci mohou objevenou zranitelnost Teams zneužít k infiltraci škodlivého kódu do vnitřní sítě organizace. | Zdroj: Microsoft
Není ani potřeba vytvářet přesvědčivý phishing, který by oběť nalákal do pasti. Pokud si útočník zaregistruje doménu, která je podobná zdroji útoku, může pracovníky uvnitř organizace zmást. Ti poté příchozí poštu mohou považovat za interní, a tedy bezpečnou. Nemusí mít problém stáhnout přílohy.
Po nahlášení objeveného exploitu Microsoftu z Redmondu zaznělo, že "nesplňuje předpoklady pro okamžitou obsluhu". To jinými slovy znamená, že z pohledu Microsoftu představuje pouze relativně nízké riziko. Zatím ani nebyl potvrzen pravděpodobný termín uvolnění záplaty.
Komunikaci s externími účty, které Microsoft ve své terminologii označuje pojmem tenant, lze v administraci Microsoft Teams zakázat. Pokud byste nechtěli blokovat veškerou externí komunikaci, lze ji povolit pouze pro důvěryhodné domény jejich přidáním na seznam povolených.
