Microsoft Teams の緩いデフォルト設定:脆弱性との組み合わせで容易にマルウェア投下

Microsoft Teams vulnerability allows attackers to deliver malware to employees

2023/06/23 HelpNetSecurity — Microsoft Teams の受信トレイへ向けて、攻撃者たちがダイレクトにマルウェアを配信できる脆弱性を、セキュリティ研究者たちが発見した。Jumpsec の研究者である Max Corbridge は、「Microsoft Teams を使用している組織は、Microsoft  のデフォルト設定を継承しているため、組織外のユーザから内部の従業員へ向けて、連絡を取ることが可能になっている」と説明している。この脆弱性を悪用したマルウェア配信攻撃は、ソーシャル・エンジニアリングを入り口として、高確率で成功しているようだ。

セキュリティ管理のバイパス

大半の組織において、Teams セキュリティ制御は甘く、外部テナント (組織外の M365 ユーザー) が従業員にメッセージを送信することが許可されている。つまり、他の組織のメンバーやサービス・プロバイダーとの間などで、Teams 経由でのコミュニケーションを許可したい、あるいは、許可が必要だという理由があるからだ。

これらの外部ユーザー (テナントたち) は、デフォルトでは他の組織の従業員に対して、ファイルを送信することができない。しかし、それを禁止しているクライアント側のセキュリティ制御をバイパスできることを、Jumpsec の研究者である Max Corbridge たちと、Head of Offensive Security の Tom Ellson が発見した。

彼らは、「この脆弱性の悪用は、POST リクエストで内部と外部の受信者 ID を切り替えるという、従来の IDOR (Insecure Direct Object References) のテクニックを使うことで簡単に成功した」と述べている。それにより、外部の受信者/攻撃者は、ターゲットの受信トレイにダウンロード用のファイルとして表示される、悪意のペイロードを送信できる。

攻撃者は、標的組織のドメインに似たドメインを M365 に登録し、標的組織の既知のメンバーのアドレスを模倣した電子メールアドレスを使用することで、攻撃の成功率をさらに高められる。

着信メッセージには “External” バナーが表示されるため、この “External” ユーザーとやり取りする際には、特に注意するよう警告されているが、従業員たちの大半により無視される可能性が高い。

Corbridge は、「この脆弱性と、Teams 経由のソーシャル・エンジニアリングを組み合わせると、会話の開始や画面の共有などが極めて簡単になる。実際に、この脆弱性を悪用した事例では、IT 技術者を装う攻撃者が、ターゲットにとって重要なソフトウェアをアップデートしたいので、会話に参加できないかと尋ねていた。この攻撃者は、会話の中で脆弱性を悪用してペイロードを配信したが、完全なソーシャル・エンジニアリング攻撃と組み合わせることで、ターゲットから暗黙のうちに信頼されていた」と指摘している。

Microsoft Teams deliver malware
Microsoft Teams の受信トレイに配信される悪意のペイロード (Source: Jumpsec)

マルウェア配信手段としての Microsoft Teams

この手口の優れた点は、ほぼ全ての最新のフィッシング詐欺対策を、特にEメールに関するセキュリティ対策を回避できることだ。

多くの従業員は、迷惑メールに含まれるリンクのクリックや、添付ファイルのダウンロードを行わないように教育されている。しかし、攻撃者が気づいているのは、Teams の ID やプラットフォーム経由で受信したメッセージを、大半の従業員が本質的に信頼しているという点である。

Corbridge によると、この脆弱性を発見したことを Microsoft に通知したが、「早急に対処すべきレベルには達していない」と同社は述べたという。

この脆弱性が、すぐに修正されることを期待したい。それまでの間の対策として、Max Corbridge は以下のアドバイスを提供している:

  • 必要のない場合には、外部のテナントが従業員にコンタクトできるオプションを削除する。
  • 連絡を取り合う組織の数が少ない場合は、特定のドメインとの通信のみを許可するよう、セキュリティー設定の許可リストを変更する。
  • Teams/Slack/SharePoint などの生産性向上アプリが、攻撃者にソーシャル・エンジニアリング攻撃に利用される可能性について、従業員を教育する。

現時点で Microsoft は、外部のテナントから発信された、潜在的に悪意を持つイベントをカバーするログを提供していないため、この試みを検出するのは難しいかもしれない。また Corbridge は、Web プロキシのログを使用して、外部のメッセージ要求を受け入れるスタッフに対して警告を発しても、そこから得られる洞察は、きわめて限定的なものに留まると付け加えている。

とにかく、組織と組織をつなげることで、シェアを拡大したい商用ソフトウェアのベンダーは、機能を制限するような対応が大嫌いです。これは、Teams に限った話ではなく、Slack などでも同じことが言えるでしょう。つい先日である、2023/06/21 にポストした「Google Chrome と脆弱性:この Web ブラウザは安全に使えるのか?」では、Chrome を題材にして話が進められていましたが、本質的に同じことが、Teams でも起こっているのでしょう。自分のことは自分で守るほかに、手立てはありませんね。