TeamsPhisher: Neues Tool nutzt Sicherheitslücke in MS Teams zum Versand von Malware
von Tina Siering
IT-Sicherheitsforscher veröffentlicht Python-Skript auf Github
Wie kürzlich bekannt wurde existiert eine Sicherheitslücke in Microsoft Teams. Cyberkriminelle können mit geringem Aufwand Schadcode auf dem eigenen Sharepoint hochladen und einer Liste an Empfängern per Teams-Chat zustellen. Das Hinterlistige: Obwohl sie von außerhalb der eigenen Organisation stammen, ermöglicht die Schwachstelle, dass beispielsweise Malware direkt als ausführbare und anklickbare Datei im Chat angezeigt wird - und nicht nur als externer Link.
Vor kurzem wurde das Python-Skript TeamsPhisher auf GitHub veröffentlicht, das die Angriffe komfortabel und einfach macht. Offensichtlich bereitgestellt von einem Pentester im Red Teaming der US Navy. Das Tool soll dazu dienen, den Schadcode auf den eigenen Sharepoint zu laden und an eine beliebig zusammenstellbare Liste von Empfängern via Teams-Chat zu senden - und wird offensichtlich nicht nur von Pentestern genutzt.
So funktioniert TeamsPhisher
Die bestehende Sicherheitslücke in Microsoft Teams ermöglicht es, Malware von einem externen Konto aus zu versenden und als ausführbare Datei direkt im Chat anzuzeigen. Während bei externen Links – die gängige Variante beim Datenaustausch zwischen Mitgliedern aus unterschiedlichen Organisationen – die Klick-Hemmschwelle vermeintlich höher ist, sieht es bei im Chat erhaltenen Dateien anders aus.
TeamsPhisher dient dazu, Anfragen an die Teams-Server gezielt zu manipulieren, z.B. werden die externen und internen Empfänger-IDs in einer POST-Anfrage vertauscht, so dass ein externer Benutzer als interner Benutzer ausgegeben wird.
Teamserver filtern grundsätzlich keine Objektreferenzen, sondern laden diese auf den Client. Technische Feinheiten, die die Anwender von TeamsPhisher allerdings nicht kennen und schon gar nicht beherrschen müssen. Denn alles, was das Tool braucht, sind ein mit Malware kompromittierter Anhang, eine verlockende Nachricht an die Empfänger und eine Liste mit verifizierten Teams-Usern. Das Tool lädt den Anhang auf den Sharepoint des Absenders hoch, durchforstet die Liste der Teams-Anwender und stellt sicher, dass die genannten Anwender auch wirklich existieren und Nachrichten empfangen können. Nach diesem Schritt startet das Tool automatisiert einen Chat mit dem Opfer und übermittelt die voreingestellte Nachricht samt Anhang.
Wenn Sie nun als erfahrener Teams-Anwender aufmerksam geworden sind und die Warnmeldungen von Teams vor Augen haben, die vor einem Empfang von Nachrichten außerhalb der eigenen Organisation warnen: TeamsPhisher umgeht diese Warnung mit einem einfachen, aber wirkungsvollen Workaround. Das Tool verwendet die Adresse des Opfers zweimal und erstellt dadurch einen Gruppen-Chat. Warnmeldung: Fehlanzeige!
Microsoft hat das Bekanntwerden der Sicherheitslücke damit kommentiert, dass die verwendete Methodik auf den Prinzipien des Social Engineerings beruht, um erfolgreich zu sein:
„Wir ermutigen unsere Kunden, gute Angewohnheiten bei der Online-Computernutzung an den Tag zu legen. Dazu gehört auch, dass [die Anwender] Vorsicht walten lassen, wenn Sie auf Links zu Webseiten klicken, unbekannte Dateien öffnen oder Dateiübertragungen akzeptieren“, so ein Sprecher von Microsoft in einer Mitteilung an Bleeping Computer. Anders ausgedrückt: Microsoft sieht die Anwender von Teams in der Pflicht: „Zuerst denken, dann klicken!“
In vielen Fällen werden Sicherheitslücken in den Produkten von Microsoft mit dem kommenden Patchday geschlossen. Ob das im Falle von TeamsPhisher auch der Fall sein wird, hat das Unternehmen bis dato noch nicht bekannt gegeben.
Vorsicht bei unbekannten Dateien (und ggf. unbekannten Absendern und Absenderinnen): Das gilt aktuell auch insbesondere für MS Teams!