I ricercatori di Jumpsec avevano scoperto un bug in Microsoft Teams che consente di inviare malware da fonti esterne. Un membro del Red Team della U.S. Navy ha sviluppato il tool TeamsPhisher che sfrutta la suddetta vulnerabilità, aggirando le protezioni del servizio.
TeamsPhisher: attacco a Microsoft Teams
Microsoft Teams blocca la ricezione dei file da un fonte esterna all’azienda (le comunicazioni sono consentite le impostazione predefinita). I ricercatori di Jumpsec avevano individuato un bug che consente di aggirare la protezione. Ciò è possibile cambiando l’identificatore del destinatario nella richiesta POST di un messaggio, quindi Teams considera interna una fonte esterna.
Un malintenzionato potrebbe registrare un dominio simile a quello dell’azienda target, ingannando i dipendenti. Microsoft ha confermato l’esistenza del bug, ma non lo ritiene sufficientemente grave per distribuire una patch in tempi brevi. TeamsPisher dimostra come si può sfruttare la vulnerabilità.
Il tool, scritto in Python, consente di effettuare un attacco automatizzato. Dopo aver fornito come input un messaggio, un allegato e un elenco di utenti, TeamsPisher carica il file su Sharepoint, verifica l’esistenza dei target e crea una nuova conversazione. Viene quindi inviato il messaggio con il link all’allegato ospitato su Sharepoint.
Ovviamente occorrono un account Microsoft Business, oltre alle licenze di Teams e Sharepoint. Il tool offre anche una “modalità anteprima” che permette di vedere come apparirà il messaggio al destinatario. Il codice di TeamsPisher è disponibile su GitHub. Finché non verrà rilasciata la patch, le aziende possono solo disattivare le comunicazioni con l’esterno o creare una whitelist di domini sicuri.