vendredi, 29 mars 2024

Les chercheurs montrent des moyens d’abuser des comptes Microsoft Teams pour les mouvements latéraux

Crédit : Gerd Altmann

Les entreprises adoptant de plus en plus des services et des applications basés sur le cloud, en particulier des outils de collaboration, les attaquants ont également adapté leurs attaques. Les services Microsoft se classent régulièrement en tête des statistiques en ce qui concerne les tentatives de connexion malveillantes, et Microsoft Teams est une application qui semble avoir récemment suscité l’intérêt des attaquants.

Les chercheurs de la société de sécurité Proofpoint ont étudié comment les attaquants pouvaient abuser de l’accès à un compte Teams et ont trouvé des vecteurs d’attaque intéressants qui pourraient permettre aux pirates de se déplacer latéralement en lançant d’autres attaques de phishing ou en incitant les utilisateurs à télécharger des fichiers malveillants.

« Notre analyse des attaques passées et des tendances actuelles dans le paysage dynamique des menaces cloud indique que les attaquants se tournent progressivement vers des vecteurs d’attaque plus avancés », ont déclaré les chercheurs de Proofpoint dans leur rapport. « L’adoption de nouvelles techniques et outils d’attaque, lorsqu’elle est associée à des failles de sécurité apparentes, y compris des fonctionnalités dangereuses dans les applications propriétaires, expose les organisations à une variété de risques critiques. »

Mouvement latéral post-compromis

Selon les données de Proofpoint, environ 40 % des organisations qui sont des locataires cloud Microsoft 365 ont eu au moins une tentative de connexion non autorisée en essayant d’accéder à un compte utilisateur via Microsoft Teams au cours du second semestre 2022 en utilisant le Web ou le bureau. clients.

Bien que ce chiffre soit inférieur au nombre d’organisations qui ont vu des tentatives de connexion malveillantes sur leur portail Azure ou leurs comptes Office 365 en général, il reste suffisamment important pour suggérer que les attaquants s’intéressent spécifiquement à Microsoft Teams.

L’accès à un compte Teams peut être obtenu via un jeton d’API, avec des informations d’identification ou un cookie de session actif, mais une fois à l’intérieur, les attaquants voudront probablement étendre leur accès à d’autres services ou cibler d’autres utilisateurs.

Les chercheurs de Proofpoint ont trouvé des appels d’API non documentés qui permettent aux utilisateurs de Teams de réorganiser les onglets affichés en haut de leurs canaux ou conversations de groupe et que tout le monde peut voir. Cette liste peut inclure d’autres applications Office 365 pour un accès facile, mais Microsoft permet également aux utilisateurs d’épingler un onglet appelé « Site Web » qui peut être personnalisé pour charger un site Web distant sécurisé dans un onglet du client Teams.

« Ce nouvel onglet pourrait être utilisé pour pointer vers un site malveillant, comme une page Web d’hameçonnage d’informations d’identification se faisant passer pour une page de connexion à Microsoft 365 », ont déclaré les chercheurs de Proofpoint. « Cela pourrait être extrêmement attrayant pour les attaquants, car, de par leur conception, l’URL d’un onglet de site Web n’est pas affichée aux utilisateurs à moins qu’ils ne visitent délibérément le menu « Paramètres » de l’onglet. »

De plus, en utilisant les appels d’API non documentés, un attaquant ayant accès à un compte Teams pourrait renommer le nouveau « site Web » malveillant qui pointe vers une page de phishing similaire à un onglet qui existe déjà, puis réorganiser les onglets pour repousser l’original de vue.

Cela signifie que les utilisateurs qui avaient l’habitude de cliquer sur l’onglet habituel peuvent désormais se retrouver sur une page qui leur demande de se réauthentifier dans leur compte Microsoft 365, ce qui pourrait ne pas éveiller les soupçons, d’autant plus qu’ils ne peuvent pas voir l’URL du site et le la page s’affiche dans une application Microsoft en laquelle ils ont confiance.

Une autre façon d’abuser de cette fonctionnalité consiste à pointer l’onglet Type de site Web vers un fichier hébergé à distance, auquel cas le client Teams téléchargera automatiquement le fichier sur l’ordinateur de l’utilisateur lorsqu’il cliquera. Cela pourrait permettre aux attaquants d’obtenir leurs droppers de logiciels malveillants sur d’autres systèmes et réseaux.

Une autre fonctionnalité de l’API Teams découverte par les chercheurs de Proofpoint est qu’elle permet aux utilisateurs de modifier les URL envoyées dans les invitations à des réunions générées à partir d’un compte Teams.

« Alors qu’un attaquant aurait généralement besoin d’accéder à Outlook ou Microsoft Exchange pour manipuler le contenu d’une invitation à une réunion, une fois que les attaquants ont accès au compte Teams d’un utilisateur, ils peuvent manipuler les invitations à des réunions à l’aide d’appels d’API Teams, en échangeant des informations par défaut bénignes. liens avec des liens malveillants », ont déclaré les chercheurs.

Les liens malveillants auxquels les destinataires sont susceptibles de faire confiance lorsqu’ils sont inclus dans une invitation générée par Teams peuvent également conduire à de fausses pages de connexion Microsoft 365 conçues pour collecter des informations d’identification ou à des pages qui invitent les utilisateurs à télécharger un fichier se faisant passer pour une mise à jour Teams. ou installateur.

L’échange de liens peut également être effectué dans les discussions existantes puisque Teams permet aux utilisateurs de modifier leurs anciens messages et de modifier les liens. Cette fonctionnalité est disponible à la fois via le client ou l’API et les attaquants peuvent créer des scripts automatisés qui remplacent tous les liens des chats existants en quelques secondes.

« Par la suite, un acteur malveillant sophistiqué pourrait utiliser des techniques d’ingénierie sociale et envoyer de nouveaux messages, encourageant les utilisateurs peu méfiants à cliquer (ou à « revisiter ») le lien modifié, et désormais militarisé », ont déclaré les chercheurs de Proofpoint.

Bien que toutes ces techniques d’attaque nécessitent que les attaquants aient déjà accès à un compte compromis, il est important que les organisations tiennent toujours compte des opportunités de mouvement latéral, car il s’agit d’un phénomène courant dans toutes les attaques modernes. Les attaquants s’arrêteront rarement à un seul compte ou système compromis une fois qu’ils auront pris pied dans les réseaux ou l’infrastructure d’une organisation.

Comment atténuer le risque de mouvement latéral via Teams

Selon les données de Proofpoint, environ deux locataires Microsoft 365 sur trois ont subi au moins un incident de piratage de compte réussi l’année dernière. L’entreprise conseille aux organisations de :

  • Dites aux utilisateurs d’être conscients de ces risques lorsqu’ils utilisent Microsoft Teams.
  • Identifiez les pirates qui accèdent à Teams dans votre environnement cloud. Cela nécessite une détection précise et rapide de la compromission initiale du compte, ainsi qu’une visibilité sur l’application de connexion concernée.
  • Isolez les sessions potentiellement malveillantes initiées par des liens intégrés dans les messages Teams.
  • Si vous êtes régulièrement confronté à des tentatives de ciblage, envisagez de limiter l’utilisation de Microsoft Teams dans votre environnement cloud.
  • Assurez-vous que votre service Teams est interne uniquement si possible et qu’il n’est pas exposé à la communication avec d’autres organisations.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici