TeamsPhisher: Tool automatisiert Angriffe auf Teams-Schwachstelle
Über eine Schwachstelle in Teams können Angreifer Malware unterjubeln. Ein jetzt veröffentlichtes Tool macht diese Attacken noch einfacher.
(Bild: Tada Images / Shutterstock.com)
Durch eine Sicherheitslücke in Teams können Angreifer potenziellen Opfern leichter Schadsoftware unterschieben. Obwohl sie von außerhalb der eigenen Organisation stammen, ermöglicht die Lücke, dass etwa Malware direkt als ausführbare und anklickbare Datei im Chat angezeigt wird und nicht lediglich als externer Link. Jetzt hat ein IT-Sicherheitsforscher der US Navy das Python-Skript TeamsPhisher veröffentlicht, das Angriffe komfortabel und einfach macht.
Auf Github hat Alex Reid, den eigenen Angaben nach Pentester beim Red Team der US Navy, das Projekt TeamsPhisher öffentlich bereitgestellt. Es vereinfacht den Angriff auf die Teams-Schwachstelle und ermöglicht Pentestern – ebenso wie Cyberkriminellen – komfortabel und mit wenig Aufwand Schadcode auf den eigenen Sharepoint hochzuladen und einer Liste an Empfängern per Teams-Chat zukommen zu lassen.
TeamsPhisher: Automatisierter Angriff
Um die Lücke auszunutzen, müssen Anfragen an die Teams-Server manipuliert werden, sodass die internen und externen Empfänger-IDs in einer POST-Anfrage vertauscht werden. Da die Server keine Objektreferenzen filtern, sondern dieses auf den Client abladen, sei der Angriff möglich.
Die Beschreibung des Tools ist ebenfalls kurz und knackig. "Geben Sie TeamsPhisher einen Anhang, eine Nachricht und eine Liste von Ziel-Teams-Benutzern. Der Anhang wird auf den Sharepoint des Absenders hochgeladen, und dann wird die Liste der Ziele durchlaufen", schreibt Reid in der Funktionsbeschreibung.
TeamsPhisher durchläuft demnach zunächst die Zielbenutzer-Liste und stellt sicher, dass diese existieren und externe Nachrichten empfangen können. Dann erstellt TeamsPhisher einen neuen Chat-Thread mit dem Opfer. Es handele sich dabei um einen Gruppen-Chat, da TeamsPhisher die E-Mail-Adresse des Ziels zweimal verwendet. Dieser Trick umgeht eine Warnmeldung an den Empfänger, der vor Nachrichten von außerhalb der eigenen Organisation warnt.
Microsoft: Nutzer müssen selbst aufpassen
Auf Anfrage von heise online sagte ein Microsoft-Sprecher: "Wir kennen den Bericht und haben festgestellt, dass er auf Social Engineering beruht, um erfolgreich zu sein. Wir ermutigen unsere Kunden, gute Angewohnheiten bei der Online-Computernutzung an den Tag zu legen. Dazu gehört auch, dass sie Vorsicht walten lassen, wenn sie auf Links zu Webseiten klicken, unbekannte Dateien öffnen oder Dateiübertragungen akzeptieren". Das Microsoft Security Response Center (MSRC) setze auf öffentlich einsehbare Kriterien zur Einschätzung, ob eine gemeldete Schwachstelle aktuelle und unterstützte Software betreffe und ob sie durch eine umgehende Aktualisierung oder eine später aktualisierte Softwareversion angegangen werde. Ob etwa am kommenden Patchday ein Update die zugrundeliegende Lücke schließt, ließ der Pressesprecher offen.
(dmk)
