Crean herramienta que explota vulnerabilidad en Teams que distribuye malware

La herramienta, disponible en GitHub, brinda a los atacantes un método para aprovechar la vulnerabilidad recientemente revelada en Microsoft Teams y así entregar automáticamente archivos maliciosos a los usuarios de Teams en una organización.

TeamsPhisher, así se denomina la nueva herramienta creada por un miembro del Red Team de la Marina de los Estados Unidos y que permite explotar una vulnerabilidad expuesta recientemente en Microsoft Teams. Esta herramienta permite a los atacantes potenciales distribuir de manera eficiente archivos maliciosos a usuarios específicos dentro de una organización que utiliza Teams.

TeamsPhisher funciona en entornos donde los usuarios internos de Teams pueden comunicarse con usuarios de Teams externos (denominados como inquilinos o tenats).

La herramienta tiene la capacidad de eliminar la necesidad de técnicas convencionales de phishing o ingeniería social al permitir que los atacantes envíen cargas útiles directamente a las bandejas de entrada de las personas seleccionadas.

TeamsPhisher es capaz de engañar las protecciones del lado del cliente de Microsoft Team para que vean a un usuario externo como interno solo modificando la ID en la solicitud POST de un mensaje. Esta herramientas está basada en Python está completamente automatizada.

Alex Reid, el miembro del Red Team que desarrolló la herramienta, señaló que para utilizar su desarrollo hay que proporcionarle a TeamsPhisher “un archivo adjunto, un mensaje y una lista de usuarios de Teams objetivo. Cargará el archivo adjunto al Sharepoint del remitente y luego iterará a través de la lista de objetivos”.

TeamsPhisher integra la idea de ataque de los investigadores de Jumpsec (quienes advirtieron la reciente vulnerabilidad en junio pasado), las técnicas desarrolladas por Andrea Santese (sobre el aprovechamiento de equipos Microsoft para el acceso inicial) y las funciones de autenticación y ayuda de la herramienta TeamsEnum de Bastian Kanbach (permite encontrar usuarios existentes y su estado en línea).

La herramienta solo funciona para usuarios con una cuenta de Microsoft Business con una licencia auténtica de Teams y Sharepoint.

Teams es utilizada por miles de organizaciones y cuenta con unos 280 millones de usuarios para utilizar esta tecnología como parte de los servicios basados ​​en la nube de Microsoft 365.

La empresa no se ha pronunciado oficialmente sobre TeamsPhisher. Por su parte, Jumpsec, quienes advirtieron la vulnerabilidad, aconsejan a las organizaciones que evalúen la necesidad de permitir la comunicación entre los usuarios internos de Teams y los usuarios o inquilinos externos y sugieren reforzar los controles de seguridad o eliminar el uso de la opción por completo, si es que no se requiere regularmente.