美国海军新工具暴露 Microsoft Teams 安全漏洞

美国海军信息安全研究团队的一名成员本周发布了一个实验工具，该工具利用了内部传入文件的限制微软团队。

这个基于 Python 的工具名为 TeamsPhisher，利用了一个未解决的安全漏洞。 这意味着攻击者可以绕过 Teams 的文件发送限制来实施标准网络钓鱼或感染技术，例如共享恶意软件。

虽然 TeamsPhisher 工具是为授权的美国海军行动而创建的，但它标记了威胁行为者可以用来针对企业的更广泛的安全风险。 这似乎是目前困扰微软的最新网络安全问题，微软最近否认大规模 DDoS 攻击。

TeamsPhisher 如何工作？

最终，客户端系统被欺骗，将外部用户视为内部团队用户。TeamsPhisher 这样做通过更改消息的 POST 请求中的 ID，使用它所需的只是有效的 Teams 和 Sharepoint 许可证。

该工具首先验证目标用户是否存在并且可以接收外部消息。 从那里，它在自身和目标之间创建一个新线程，并发送一条带有 Sharepoint 附件链接的消息。

通过向 TeamsPhisher 提供附件、消息和目标用户列表，可以对攻击进行批量攻击。 它将附件上传到发件人的 Sharepoint，并在重复其操作的同时处理每个收件人。

该工具足够复杂，可以为攻击者提供预览，帮助他们验证目标列表，并确保从收件人的角度来看，邮件看起来毫无戒心。 许多功能甚至可以用于改进攻击，包括发送只能由所选收件人查看的安全文件链接。

尽管该工具是为授权的红队操作而构建的，但很明显恶意行为者可以轻松地利用该工具和这些漏洞。

解决方案不会立即得到解决

TeamsPhisher 利用的问题最初是由英国网络安全专家上个月提出的跳跃秒。 微软已经意识到了这一点，但告诉 Jumpsec 研究人员，它不符合立即提供服务的标准。

尽管攻击者能够在不被发现的情况下传播恶意软件，但微软表示，它认为依赖社会工程的攻击才能成功。

在一份声明中电脑发出蜂鸣声微软补充道，“我们鼓励客户在网上养成良好的计算习惯，包括在点击网页链接、打开未知文件或接受文件传输时要小心谨慎。”

因此，虽然目前可能不会进行系统修复，但组织可以采取一些安全预防措施来防止受到攻击：为受信任的域创建允许列表可以帮助限制风险，禁用与外部租户的通信也可以帮助降低风险。如果没有明确需要它们。