I ricercatori di sicurezza dell'azienda Jumpsec hanno comunicato di aver scovato un bug in Microsoft Teams che permette la trasmissione di malware da fonti esterne. La redazione di BleepingComputer riferisce però che un membro del Red Team della U.S. Navy ha approfittato della cosa è ha sviluppato il tool TeamsPhisher che sfrutta la vulnerabilità in questione, andando ad aggirare le protezioni del servizio.
Microsoft Teams: TeamsPhisher sfrutta un bug per l'invio di malware
Andando più in dettaglio, per impostazione predefinita Microsoft Teams blocca la ricezione dei file da fonti esterne all'azienda di riferimenti, ma i ricercatori di Jumpsec avevano individuato per aggirare questa protezione modificando l’identificatore del destinatario nella richiesta POST di un messaggio, in maniera tale che Microsoft Teams consideri interna una fonte esterna.
Il bug è stato poi confermato da Microsoft, ma non reputandolo sufficientemente grave ha fatto sapere che non provvederà a distribuire un correttivo a stretto giro. Il tool TeamsPhisher dimostra però che le cose non stanno propriamente in questo modo e che sarebbe invece meglio rilasciare un fix quanto prima per evitare che eventuali malintenzionati possano approfittarsi della cosa.
Il tool è scritto in Python e consente di effettuare un attacco automatizzato. Dopo aver fornito come input un messaggio, un allegato e un elenco di utenti, TeamsPisher carica il file su Sharepoint, verifica l’esistenza dei target e va a generare una nuova conversazione, dopodiché viene inviato il messaggio con il link all’allegato ospitato su Sharepoint.
Il tool mette pure a disposizione una modalità d'anteprima che permette di vedere come apparirà il messaggio al destinatario. Il codice di TeamsPisher è disponibile su GitHub.