Microsoft Teamsのバグにより、外部アカウントからのマルウェア配布が可能に
外部テナントからのファイル送付が制限されているMicrosoft Teamsにおいて、この制限を回避して外部アカウントから標的組織へとマルウェアを配布する手段を、英国のセキュリティサービス企業Jumpsecのレッドチームメンバーが発見したという。
Teamsのデフォルト設定では、外部からのファイル送信は不可
デフォルト設定のMicrosoft Teamsでは、組織内・社内のユーザーとのやり取りだけでなく、「外部テナント」(Microsoft Teamsを利用している他組織や他企業)のユーザーとのやり取りも行うことができる。ただし、内部のユーザーとのチャットではファイル送信のオプションが表示されるのに対し、外部ユーザーとのチャットではこのオプションが表示されない。つまり、外部ユーザーからのファイル受信はできないようなセキュリティ規制がなされている。
セキュリティ規制の回避および外部からのマルウェア配布を可能にするバグ
Jumpsecの研究者らは、Teamsのクライアントプロトコルを悪用してセキュリティポリシーを回避する手法について記したブログ記事などを参考に、上述のセキュリティ規制を回避する方法を発見した。これは、POSTリクエスト内の内部受信者IDと外部受信者IDを入れ替えるというIDORテクニックを用いる方法。こうすることで研究者らはシステムを騙し、外部ユーザーを内部ユーザーかのように処理させることに成功したという。
研究者らは密かに行われたレッドチーム演習において、上記の手法をテスト。ITチームのメンバーを装って、標的ユーザーへSharepointにアップロードされたC2ペイロードへのリンクを送信した。こうして標的の受信箱へ直接配布されたペイロードは、リンクであるにもかかわらずファイルであるかのように表示されたという。研究者らは、この方法を使うことで従来のフィッシング技術を使うよりもはるかにシンプルで確実に、かつユーザーフレンドリーな形でペイロードを配布する道が開けると指摘している。
マイクロソフトは速やかな対応が必要とは考えず
Jumpsecがこの問題についてマイクロソフトに報告したところ、同社は脆弱性の真正さについては認めたものの、早急な対応が求められるほど重大な問題ではないと返答したという。
推奨される対策は?
マイクロソフトの回答を踏まえてJumpsecは、日常的に外部テナントとコミュニケーションを取る必要のないTeams利用組織に対し、対策として外部テナントとのやり取りを無効化するよう推奨している。また外部テナントとのコミュニケーションを維持しなければいけない組織に対しては、やり取りを許可するドメインのリストを作成し、そこに記載されたテナントとのやり取りのみを有効化するよう勧めている。
(情報源:BleepingComputer ”Microsoft Teams bug allows malware delivery from external accounts”、Jumpsec ”Advisory: IDOR in Microsoft Teams Allows for External Tenants to Introduce Malware”)
6月23日:その他の注目ニュース
Cisco AnyConnect Secureの脆弱性に対するPoCエクスプロイトが公開される:CVE-2023-20178
SecurityWeek – Jun 22 2023 12:50
Cisco AnyConnect Secure Mobility ClientおよびSecure Client for Windowsにおける深刻度の高い脆弱性CVE-2023-20178に対するPoCエクスプロイトコードを、セキュリティ研究者がリリース。CVE-2023-20178は、権限の低いローカルの攻撃者による権限の昇格およびsystem権限でのコード実行を可能にする恐れのある脆弱性で、CVSSスコアは7.8。脆弱性の発見者であるFilip Dragovic氏によって、PoCがリリースされた。なお、このPoCをSecure Client(バージョン5.0.01242)およびAnyConnect Secure Mobility Client(バージョン4.10.06079)でテストしたDragovic氏によると、影響を受けるのはWindows版のみだったとのこと。