Een lid van de Amerikaanse marine heeft een tool gemaakt om misbruik te maken van een fout in Microsoft Teams

De populaire online vergaderservice Microsoft Teams heeft een fout waardoor een hacker kwaadaardige bijlagen van buitenaf naar een Teams-groep kan sturen. Een lid van de Amerikaanse marine heeft een tool gemaakt die misbruik maakt van deze exploit in een poging om bedrijven bewust te maken van dit probleem.

Alex Reid, een lid van het Red Team van de Amerikaanse marine, publiceerde de tool, die hij TeamsPhisher noemt, op GitHub . Het doel van Red Team is volgens PCWorld om aanvallen van hackers te simuleren en vervolgens manieren te bedenken waarop de getroffen gebruikers deze aanvallen kunnen afweren.

Het README-bestand van het programma biedt wat informatie over hoe de op Python gebaseerde tool werkt:

Geef TeamsPhisher een bijlage, een bericht en een lijst met beoogde Teams-gebruikers. Het uploadt de bijlage naar het Sharepoint van de afzender en doorloopt vervolgens de lijst met doelen.

TeamsPhisher inventariseert eerst de doelgebruiker en zorgt ervoor dat de gebruiker bestaat en externe berichten kan ontvangen. Vervolgens wordt een nieuwe thread gemaakt met de doelgebruiker. Merk op dat dit technisch gezien een “groepchat” is omdat TeamsPhisher de e-mail van het doelwit tweemaal bevat; dit is een handige truc van @Medu554 die het startscherm ‘Iemand van buiten uw organisatie heeft u een bericht gestuurd, weet u zeker dat u het wilt bekijken’ omzeilt dat onze doelen een reden kan geven om te pauzeren.

Met de nieuwe thread die is gemaakt tussen onze afzender en het doel, wordt het opgegeven bericht naar de gebruiker verzonden, samen met een link naar de bijlage in Sharepoint.

Zodra dit eerste bericht is verzonden, is de aangemaakte thread zichtbaar in de Teams-GUI van de afzender en kan deze indien nodig handmatig worden aangepast.

Het README-bestand zegt wel dat bedrijven die Teams gebruiken, kunnen voorkomen dat iets als TeamsPhisher toegang krijgt tot zijn vergaderingen “door de opties met betrekking tot externe toegang te beheren via het Microsoft Teams-beheercentrum onder Gebruikers -> Externe toegang.” Teams-beheerders kunnen ervoor kiezen om een “universeel blokkeren en alleen specifieke externe huurders op de witte lijst zetten voor communicatie.”

BleepingComputer ontving een opmerking van een Microsoft-woordvoerder over dit Teams-probleem:

We zijn op de hoogte van dit rapport en hebben vastgesteld dat het afhankelijk is van social engineering om succesvol te zijn. We moedigen klanten aan om online goede computergewoonten te oefenen, waaronder voorzichtigheid bij het klikken op koppelingen naar webpagina’s, het openen van onbekende bestanden of het accepteren van bestandsoverdrachten.

Kortom, het klinkt alsof Microsoft niet het gevoel heeft dat dit een fout is in Teams zelf, maar dat beheerders en gebruikers simpelweg geen bestanden of links hoeven te openen, aan te klikken of te accepteren die ze niet kennen. Dat is een goed advies voor elke online activiteit.