Microsoft Teams, una vulnerabilità consente l’iniezione di malware

I ricercatori di sicurezza Red Team di JUMPSEC hanno recentemente scoperto una vulnerabilità nell’ultima versione di Microsoft Teams che consentirebbe l’iniezione di malware in qualsiasi organizzazione che utilizza Microsoft Teams nella sua configurazione predefinita. Questo avverrebbe aggirando i controlli di sicurezza lato client che impediscono agli “external tenants” di inviare file.

Come avviene l’attacco

Microsoft Teams consente a qualsiasi utente con un account Microsoft di contattare anche “locazioni esterne” (external tenant) senza però poter inviare file, cosa possibile invece tra membri appartenenti alla stessa locazione (tenancy). Tuttavia, il Red Team sarebbe riuscito ad aggirare tale restrizione modificando l’ID del destinatario interno ed esterno nella richiesta POST di un messaggio, inducendo così il sistema a trattare un utente esterno come interno.

Esempio di un tentativo di invio file verso locazioni esterne sfruttando la vulnerabilità scoperta

Cosa fare

Sebbene Microsoft sia stata informata del difetto, la società potrebbe impiegare del tempo per risolvere questo problema non ritenendolo urgente. Pertanto fino a quando non ci sarà una correzione, i Red Team di JUMPSEC consigliano alle organizzazioni che si affidano a Microsoft Teams per comunicare con utenti esterni di disabilitare la relativa funzionalità di accesso esterno aprendo l’interfaccia di amministrazione di Microsoft Teams o creare una white list per consentire solo comunicazioni con determinati domini fidati.

Con oltre 270 milioni di utenti mensili attivi, Teams è incredibilmente comune nelle organizzazioni target. Il DART (Detection and Response Team) di JUMPSEC ha visto una tendenza verso nuove tecniche di phishing e consegna di payload sfruttate allo stato brado, incluso ma non limitato all’utilizzo di tenants esterni di Teams per l’ingegneria sociale.”, Commentano i ricercatori e concludono, “Con gli attori delle minacce che sperimentano continuamente nuovi attacchi di ingegneria sociale, le organizzazioni devono espandere la loro consapevolezza della sicurezza per coprire frontiere precedentemente trascurate“.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.