I ricercatori Proofpoint segnalano diverse funzionalità pericolose di Microsoft Teams che consentono ai cyber criminali di diffondere phishing e malware.

microsoft-teams

Può il lavoro di squadra diventare pericoloso? Si se alcuni strumenti di collaborazione, come Microsoft Teams, facilitano il lavoro agli aggressori online.

Microsoft è, senza dubbio, un partner importante per la produttività di molte organizzazioni che si affidano alla suite di prodotti Office per le esigenze quotidiane dell’ecosistema cloud. Oggi però gli attaccanti mettono nel mirino gli ambienti e i servizi cloud e cercano di sfruttare falle e vulnerabilità di sicurezza esistenti per vari scopi nefasti. I ricercatori di Proofpoint hanno recentemente analizzato oltre 450 milioni di sessioni dannose, rilevate nella seconda metà del 2022 rivolte agli utenti del servizio cloud Microsoft 365. Secondo i risultati, Microsoft Teams è una delle dieci applicazioni di accesso più bersagliate, con quasi il 40% delle organizzazioni prese di mira che hanno subito almeno un tentativo di accesso non autorizzato.

Abuso del meccanismo delle schede predefinite si Microsoft Teams

La piattaforma Microsoft Teams offre un meccanismo di messaggistica personale e di gruppo, attraverso canali o chat che possono contenere schede aggiuntive create da diverse applicazioni. Un esempio è la scheda “File”, associata a SharePoint e OneDrive. I ricercatori hanno scoperto che la loro manipolazione potrebbe essere parte di un vettore di attacco potente e in gran parte automatizzato, a seguito di una compromissione dell’account.

Di solito, gli utenti possono rinominare le schede come preferiscono, purché il nuovo nome non si sovrapponga a quello di una scheda esistente, ma non possano riposizionarle in modo da anteporle a quelle predefinite.

Tuttavia, utilizzando chiamate API di Microsoft Teams non documentate, le schede possono essere riordinate e rinominate per scambiare quella originale con una nuova personalizzata. Un modo in cui questa “funzione” apparentemente innocua può essere sfruttata dagli attori delle minacce è l’utilizzo di un’applicazione nativa, “Website”, che consente agli utenti di appuntare un sito web scelto come scheda nella parte superiore di un canale o di una chat di Teams.

Dopo averlo fatto, un aggressore può manipolare il nome della scheda, cambiandolo con quello di una esistente e riposizionandola. In questo modo, possono far passare inosservata la scheda originale e aumentare le possibilità di utilizzo di quella fraudolenta che potrebbe essere utilizzata per puntare a un sito dannoso.

Sebbene le migliori pratiche di sicurezza del browser invitino gli utenti a esaminare attentamente gli indicatori chiave (come la barra degli URL) e a non cliccare su link sospetti, in questo caso tutte queste istruzioni sono irrilevanti, poiché Microsoft Teams non fornisce una barra degli URL visibile, impedendo alle vittime di accorgersi che la pagina web a cui accedono è in realtà dannosa.

Un altro modo per abusare facilmente degli stessi meccanismi è utilizzare la stessa scheda Website per puntare a un file. Questo fa sì che Teams (indifferentemente in versione client desktop o Web) scarichi automaticamente il file sul dispositivo dell’utente, inserendo potenzialmente dropper dannosi nei dispositivi e nelle reti aziendali delle vittime.

Sfruttare gli inviti alle riunioni

Le schede non sono l’unica funzione di Microsoft Teams aperta all’abuso da parte di malintenzionati. La piattaforma Microsoft Teams può anche sincronizzarsi con il calendario di un utente per visualizzare, creare e modificare le riunioni programmate. Per impostazione predefinita, quando si crea una riunione di Teams, vengono generati e inviati diversi link all’interno della descrizione del meeting che permettono agli utenti di partecipare online o scaricare il client desktop di Teams.

Di solito, per manipolare il contenuto di un invito a una riunione, un malintenzionato deve accedere a Outlook o a Microsoft Exchange. Accedendo però all’account Microsoft Teams è in grado di modificare gli inviti alle riunioni utilizzando le chiamate API dell’applicazione, scambiando i link predefiniti con quelli dannosi e indirizzando gli utenti a pagine di phishing o a siti che ospitano malware, causando così il download istantaneo di malware spacciati per file di installazione di Teams.

Collegamenti ipertestuali nei messaggi

Un altro approccio che gli aggressori possono utilizzare, dato l’accesso al token di Microsoft Teams di un utente, è quello di usare l’API o l’interfaccia utente per sfruttare i collegamenti esistenti nei messaggi inviati. Ciò potrebbe avvenire semplicemente sostituendo link innocui con altri che puntano a siti web o risorse pericolosi. In questo scenario, il collegamento ipertestuale presentato non verrebbe modificato, anche se l’URL sottostante è stato modificato.

Impatto potenziale

È importante notare che i suddetti metodi di abuso richiedono un accesso preesistente a un account utente o a un token Teams compromesso. Tuttavia, circa il 60% dei clienti di Microsoft 365 ha subito almeno un caso di account takeover nel 2022. Di conseguenza, la potenziale proliferazione di questi metodi offrirebbe agli attori delle minacce efficaci possibilità di movimento laterale post-compromissione.

L’analisi degli attacchi passati e delle tendenze in atto nel panorama dinamico delle minacce cloud indica che i cybercriminali si orientano progressivamente verso vettori di attacco più avanzati. L’adozione di nuove tecniche e strumenti, se combinata con evidenti falle nella sicurezza, tra cui funzionalità pericolose nelle app di prima parte, espone le organizzazioni a una serie di rischi critici.

Come proteggersi in modo efficace dagli attacchi mirati a Microsoft Teams?

Di seguito sono riportate alcune indicazioni che possono aiutare un’organizzazione a difendersi dai rischi di phishing e malware collegati a Microsoft Teams:

  • Sensibilizzazione alla sicurezza: educare gli utenti a essere consapevoli di questi rischi quando utilizzano Microsoft Teams.
  • Sicurezza del cloud: identificare gli attaccanti che accedono a Teams all’interno di un ambiente cloud. Ciò richiede un rilevamento accurato e tempestivo della compromissione iniziale dell’account e la visibilità dell’applicazione di accesso colpita.
  • Sicurezza Web: isolare le sessioni potenzialmente dannose avviate da link incorporati nei messaggi di Teams.
  • Esaminare l’utilizzo di Microsoft Teams: se si verificano regolarmente tentativi di attacco, è possibile considerare la possibilità di limitarne l’uso nel proprio ambiente cloud.
  • Limitare l’accesso: È consigliabile assicurarsi che il servizio Teams sia solo interno, se possibile, e non esposto alla comunicazione con altre organizzazioni.