hadicanim
Aktif Üye
BT güvenlik araştırmacıları, Teams’de saldırganların potansiyel kurbanlara kötü amaçlı yazılım göndermesini kolaylaştıran bir güvenlik açığı keşfetti. Saldırı, geleneksel kimlik avı korumasını atlar. Çare şu anda oluşturmak önemsiz değildir.
Reklamcılık
Normalde, kötü niyetli aktörler, kurbanlarına kötü amaçlı kod yerleştirmek için genellikle önce sosyal mühendislik yapmak ve kurbanlarını kimlik avı yapmak zorunda kalırdı. Jumpsec’ten BT araştırmacıları, bir güvenlik danışma belgesinde, ekiplerin varsayılan yapılandırmasının bu tür çekmeler olmadan bile kötü amaçlı kodun gönderilmesine izin verdiğini yazıyor.
Microsoft Teams: Ağ geçidi olarak güvenli olmayan nesne başvuruları
Ekiplerin standart yapılandırması, kendi kuruluşlarının dışındaki kullanıcıların şirketteki çalışanlarla iletişim kurmasına olanak tanır. Bu, yeni bir sosyal mühendislik yaklaşımı sağlar. Jumpsec, ekiplerin bu tür temaslar için “dış” ifadesini görüntülemesine ve hatta bir uyarı vermesine rağmen, deneyimlerin yüzde 95’inin onları görmezden geldiğini gösterdiğini açıkladı.
Ekiplerde, kullanıcılar dosya gönderebilir. Dahili kişilerin tıklayıp yürütmesi için doğrudan sohbette görüntülenirler. Harici kişiler bunu yapamaz, ancak filtreleme istemci tarafında gerçekleşir ve sorun da burada yatar. Nesne referanslarının sunucu tarafından filtrelenmemesi, bir POST isteğinde dahili ve harici alıcı kimliklerinin değiştirilmesiyle kötüye kullanılabilir. Bir ekran görüntüsü basit saldırıyı gösterir.
Ekiplerdeki saldırganların potansiyel kurbanlara nasıl kötü amaçlı kod yerleştirebileceğine dair örnek bir sohbet geçmişi. Dosyalar bir bağlantı olarak değil, doğrudan görüntülenir.
(Resim: Jumpsec)
Dosyalar doğrudan kurbanlara gösterilir, bağlantı olarak değil. BT güvenlik araştırmacıları bu tür güvenlik açıklarını şu şekilde adlandırır: Güvenli olmayan doğrudan nesne referansları (IDOR), güvenli olmayan doğrudan nesne referansları. Bir uygulama, kullanıcılar tarafından sağlanan verilerden nesnelere doğrudan erişir.
Reklamcılık
Siber suçlular, yazım hatası yapan alan adlarına, yani kendi şirket alan adlarına çok benzeyen alan adlarına sahip kurbanları kolayca bulabilir ve bunlara kötü amaçlı kod yerleştirebilir. Jumpsec, bunu müşterilerle bir pentestte başarıyla denediğini belirtiyor.
Microsoft güvenlik açığını onayladı, ancak acil güvenlik güncelleştirmeleri için yeterince ciddi değil. Bu nedenle BT araştırmacıları, dışarıdan kendi ekibinizdeki kişilerle iletişimin gerçekten gerekli olup olmadığını kontrol etmenizi önerir – bu muhtemelen çok sık bir durumdur. Ancak bunun gerekli olmadığı durumlarda erişim Teams Admin Center’da “Harici Erişim” altında kısıtlanabilir. Erişime izin verilen belirli ortak etki alanlarına erişimi kısıtlamak da mümkün olabilir. Her durumda, ekiplerin günlük dosyaları harici erişim belirtileri için izlenir.
Takımlarda her zaman zayıflıklar vardır. Geçen sonbaharda, Teams’in Microsoft belirteçlerini düz metin olarak sakladığı ortaya çıktı. Saldırganlar, kullanıcıların Microsoft hizmetlerine erişmek için bunu kullanabilir.
(dmk)
Haberin Sonu
Reklamcılık
Normalde, kötü niyetli aktörler, kurbanlarına kötü amaçlı kod yerleştirmek için genellikle önce sosyal mühendislik yapmak ve kurbanlarını kimlik avı yapmak zorunda kalırdı. Jumpsec’ten BT araştırmacıları, bir güvenlik danışma belgesinde, ekiplerin varsayılan yapılandırmasının bu tür çekmeler olmadan bile kötü amaçlı kodun gönderilmesine izin verdiğini yazıyor.
Microsoft Teams: Ağ geçidi olarak güvenli olmayan nesne başvuruları
Ekiplerin standart yapılandırması, kendi kuruluşlarının dışındaki kullanıcıların şirketteki çalışanlarla iletişim kurmasına olanak tanır. Bu, yeni bir sosyal mühendislik yaklaşımı sağlar. Jumpsec, ekiplerin bu tür temaslar için “dış” ifadesini görüntülemesine ve hatta bir uyarı vermesine rağmen, deneyimlerin yüzde 95’inin onları görmezden geldiğini gösterdiğini açıkladı.
Ekiplerde, kullanıcılar dosya gönderebilir. Dahili kişilerin tıklayıp yürütmesi için doğrudan sohbette görüntülenirler. Harici kişiler bunu yapamaz, ancak filtreleme istemci tarafında gerçekleşir ve sorun da burada yatar. Nesne referanslarının sunucu tarafından filtrelenmemesi, bir POST isteğinde dahili ve harici alıcı kimliklerinin değiştirilmesiyle kötüye kullanılabilir. Bir ekran görüntüsü basit saldırıyı gösterir.
Ekiplerdeki saldırganların potansiyel kurbanlara nasıl kötü amaçlı kod yerleştirebileceğine dair örnek bir sohbet geçmişi. Dosyalar bir bağlantı olarak değil, doğrudan görüntülenir.
(Resim: Jumpsec)
Dosyalar doğrudan kurbanlara gösterilir, bağlantı olarak değil. BT güvenlik araştırmacıları bu tür güvenlik açıklarını şu şekilde adlandırır: Güvenli olmayan doğrudan nesne referansları (IDOR), güvenli olmayan doğrudan nesne referansları. Bir uygulama, kullanıcılar tarafından sağlanan verilerden nesnelere doğrudan erişir.
Reklamcılık
Siber suçlular, yazım hatası yapan alan adlarına, yani kendi şirket alan adlarına çok benzeyen alan adlarına sahip kurbanları kolayca bulabilir ve bunlara kötü amaçlı kod yerleştirebilir. Jumpsec, bunu müşterilerle bir pentestte başarıyla denediğini belirtiyor.
Microsoft güvenlik açığını onayladı, ancak acil güvenlik güncelleştirmeleri için yeterince ciddi değil. Bu nedenle BT araştırmacıları, dışarıdan kendi ekibinizdeki kişilerle iletişimin gerçekten gerekli olup olmadığını kontrol etmenizi önerir – bu muhtemelen çok sık bir durumdur. Ancak bunun gerekli olmadığı durumlarda erişim Teams Admin Center’da “Harici Erişim” altında kısıtlanabilir. Erişime izin verilen belirli ortak etki alanlarına erişimi kısıtlamak da mümkün olabilir. Her durumda, ekiplerin günlük dosyaları harici erişim belirtileri için izlenir.
Takımlarda her zaman zayıflıklar vardır. Geçen sonbaharda, Teams’in Microsoft belirteçlerini düz metin olarak sakladığı ortaya çıktı. Saldırganlar, kullanıcıların Microsoft hizmetlerine erişmek için bunu kullanabilir.
(dmk)
Haberin Sonu