Microsoft Teams sarebbe vittima di un nuovo exploit da parte degli hacker che avrebbero sfruttato la chat per diffondere malware.
31 GENNAIO 2024 | Stando a un nuovo report dei ricercatori di sicurezza, sono stati individuati nuovi attacchi di phishing che sfruttano i gruppi di chat di Microsoft Teams per diffondere il malware DarkGate tramite l’invio di allegati contenenti finti documenti PDF infetti. Questa tecnica sfrutta ancora una volta la possibilità di comunicare con tentant esterni, non disabilitata di default, eludendo i sistemi di protezione di Teams.
Sebbene la maggior parte degli utenti finali conosca bene i pericoli degli attacchi di phishing tradizionali, come quelli consegnati tramite e-mail o altri media, gran parte probabilmente non è a conoscenza del fatto che le chat di Microsoft Teams potrebbero essere un vettore di phishing. La maggior parte delle attività di Teams è intra-organizzativa, ma Microsoft abilita l’accesso esterno per impostazione predefinita, che consente ai membri di un’organizzazione di aggiungere utenti esterni all’organizzazione alle chat di Teams. Forse prevedibilmente, questa funzionalità ha fornito agli autori malintenzionati una nuova strada attraverso la quale sfruttare utenti inesperti o inconsapevoli.
14 SETTEMBRE 2023 | Secondo un altro report di Microsoft, il gruppo di hacker identificato come Storm-0324 avrebbe recentemente utilizzato tecniche di phishing per diffondere ransomware tramite allegati condivisi nella chat di Microsoft Teams. Microsoft tiene a raccomandare di fare attenzioni alle attività proveniente da domini esterni, utilizzare il buonsenso nell’apertura di file di dubbia o provenienza sconosciuta.
Nel luglio 2023, Storm-0324 ha iniziato a utilizzare esche di phishing inviate tramite Teams con collegamenti dannosi che portavano a un file dannoso ospitato su SharePoint. Per questa attività, Storm-0324 molto probabilmente si affida a uno strumento disponibile al pubblico chiamato TeamsPhisher. TeamsPhisher è un programma in linguaggio Python che consente agli utenti del tenant di Teams di allegare file ai messaggi inviati a tenant esterni, che possono essere sfruttati dagli aggressori per inviare allegati di phishing.
6 LUGLIO 2023 | Stando a un ulteriore report dei ricercatori di sicurezza, è stato pubblicato in rete un tool denominato TeamsPhisher che permette di automatizzare gli attacchi malware tramite la chat di Teams sfruttando le tecniche descritte in precedenza. Microsoft è al corrente del potenziale problema di sicurezza, ma al momento non ritiene necessario un intervento per arginare possibili attacchi, se non quello di utilizzare il buonsenso nell’apertura di file di dubbia o provenienza sconosciuta.
23 GIUGNO 2023 | Secondo un nuovo report dei ricercatori di sicurezza la chat di Teams sarebbe nel mirino di nuovo exploit. Nello specifico tramite una nuova tecnica che sostituisce gli ID dei destinatari della chat è possibile inviare file infetti da malware anche da un tenant esterno, eludendo il blocco attivo di default del sistema di protezione di Teams.
JUMPSEC ha recentemente scoperto una vulnerabilità nell’ultima versione di Microsoft Teams che consente la possibile introduzione di malware in qualsiasi organizzazione che utilizza Microsoft Teams nella sua configurazione predefinita. Questo viene fatto aggirando i controlli di sicurezza lato client che impediscono ai tenant esterni di inviare file (malware in questo caso) al personale della tua organizzazione. JUMPSEC dispone di opzioni di correzione dettagliate, nonché di alcune opportunità di rilevamento.
Dal canto suo Microsoft sembrerebbe al corrente della situazione, tuttavia al momento non sarebbe preoccupata di risolvere il potenziale problema di sicurezza nell’immediato.
Attacchi malware via chat
Stando a quanto riportano nuove indagini dei ricercatori di sicurezza, la chat di Microsoft Teams utilizzata quotidianamente da circa 270 milioni di persone sarebbe stata sfruttata per effettuare attacchi malware. Nello specifico, dei malintenzionati sarebbero riusciti a intrufolarsi nelle chat per pubblicare dei file eseguibili contenti trojan e all’apparenza innocui, scaricabili dagli ignari partecipanti della chat per diffondere malware.
A partire da gennaio 2022, Avanan ha osservato come gli hacker rilasciano file eseguibili dannosi nelle conversazioni di Teams. Il file scrive i dati nel registro di Windows, installa i file DLL e crea collegamenti che consentono al programma di autoamministrarsi.
Tanti degli account Microsoft 365 compromessi in passato hanno permesso agli hacker di accedere a moltissime chat aziendali. Sarebbero migliaia gli attacchi di questo tipo ogni mese e, secondo i ricercatori, sono destinati ad aumentare.
Il primo passaggio è accedere a Teams. Gli hacker hanno diversi modi per farlo. Possono compromettere un’organizzazione partner e ascoltare le chat inter-organizzative. Possono compromettere un indirizzo e-mail e utilizzarlo per accedere a Teams. Possono rubare le credenziali di Microsoft 365 da una precedente campagna di phishing, dando loro carta bianca di accesso a Teams e al resto della suite Office. Dato che gli hacker sono abbastanza abili nel compromettere gli account Microsoft 365 utilizzando i tradizionali metodi di phishing tramite posta elettronica, hanno appreso che le stesse credenziali funzionano per Teams.
Questo nuovi tipo di attacchi in chat rappresenta un grosso problema di sicurezza per Microsoft, in quanto Teams non è provvisto di un sistema di protezione adeguato al momento.
Ad aggravare questo problema c’è il fatto che mancano le protezioni predefinite di Teams, poiché la scansione di collegamenti e file dannosi è limitata. Inoltre, molte soluzioni di sicurezza della posta elettronica non offrono una protezione solida per Teams.
Che ne pensate di questa vicenda? Vi fidate dei sistemi di protezione di Microsoft? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonte | BleepingComputer