Teams Phisher

Neues Tool nutzt Microsoft-Teams-Schwachstelle um Malware zu verschicken

Uhr
von Tanja Mettauer und cka

Angreifer können dank einer Schwachstelle im Dateiversand via Microsoft Teams Malware einschleusen. Das Tool namens "TeamsPhisher" umgeht bestehende Einschränkungen für Dateien, die von Nutzern ausserhalb der eigenen Organisation verschickt werden.

(Source: Pikisuperstar / Freepik.com)
(Source: Pikisuperstar / Freepik.com)

Mit einem Tool namens "TeamsPhisher" können Angreifer eine noch nicht behobene Schwachstelle in Microsoft Teams ausnutzen. Wie Heise berichtet, lud ein User, der nach eigenen Angaben Pentester beim Red Team der US Navy ist, das Tool auf Github.

"TeamsPhisher" umgehe existierende Einschränkungen, die für Dateien gelten, welche von Nutzerinnen und Nutzer ausserhalb der eigenen Organisation versendet werden. Die Lücke ermöglicht es beispielsweise, Malware direkt als ausführbare Datei im Chat zu verschicken statt als externen Link - auch wenn sie von ausserhalb der eigenen Organisation stammt. 

Das Tool nutzt eine Schwachstelle aus, die bereits vom britischen Sicherheitsdienstleister Jumpsec vergangenen Monat entdeckt wurde, wie "Bleepingcomputer" berichtet. Diese Lücke erlaube es Angreifern, Malware von einem externen Konto aus zu versenden. Möglich mache das der clientseitige Schutzmechanismus, der einen externen Nutzer als internen Nutzer ausgeben könne. 

Vollständig automatisierte Angriffe

Das Python-basierte Tool ermöglicht laut "Bleepingcomputer" vollständig automatisierte Angriffe. In der Beschreibung des Tools erläutert der Entwickler das Vorgehen: Ein Angreifer müsse "TeamsPhisher" lediglich einen Anhang, eine Nachricht und eine Liste von Empfängern zuweisen. Danach werde das Tool den Anhang im Sharepoint des Absenders hochladen und die Empfängerliste durchgehen. 

Dazu prüfe das Tool auch, ob die Zielperson existiere und externe Nachrichten empfangen könne - nur so funktioniere der Angriff überhaupt. Das Tool erfordert jedoch ein Microsoft Business-Konto mit einer gültigen Teams- sowie Sharepoint-Lizenz und unterstütze Multi-Faktor-Authentifizierung, wie es weiter heisst. 

Die Sicherheitslücke wurde von Microsoft noch nicht behoben. Wie Microsoft gegenüber "Bleepingcomputer" schreibt, sollen Nutzerinnen und Nutzer Vorsicht beim Klicken auf Links und beim Öffnen unbekannter Dateien walten lassen. Den Unternehmen werde ausserdem empfohlen, die Kommunikation mit externen Tenants zu deaktivieren, wenn sie nicht benötigt werde. Ebenso könne eine Liste mit vertrauenswürdigen Domänen erstellt werden, um das Missbrauchsrisiko zu minimieren. 

Anfang Juli dementierte Microsoft ein angebliches Datenleck, das über 30 Millionen Microsoft-Benutzerkonten betreffen soll. Mehr dazu lesen Sie hier

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
XsPbStex