Recent expus de către cercetătorii în securitate cibernetică, un nou instrument Beacon Object File (BOF) exploatează mecanismul de autentificare din Microsoft Teams pentru a fura cookie-uri. Teams folosește o metodă de criptare simplă (DPAPI), diferită de browserele securizate, lăsând tokenurile de acces vulnerabile. Aceste tokenuri permit accesul la chaturi, e-mailuri și API-ul Microsoft Graph.
Atacatorii folosesc instrumentul BOF pentru a se injecta direct în procesul Teams, depășind astfel blocajele de fișiere fără a alerta utilizatorul. Prin duplicarea handle-urilor, instrumentul citește și decriptează valorile cookie-urilor pe loc, asigurând furtul de date.
Odată furate, tokenurile permit preluarea identității utilizatorilor și mișcarea laterală în rețea. Organizațiile trebuie să prioritizeze monitorizarea comportamentală (pentru detectarea injecției de proces), să aplice principiul celui mai mic privilegiu și să consolideze regulile de detecție care vizează accesul la DPAPI.
Sfaturi de Protectie
1. Implementați Monitorizarea Comportamentală a Proceselor (EDR/XDR).
Pasul 1 (Configurare EDR): Soluțiile EDR (Endpoint Detection and Response) trebuie configurate să detecteze și să alerteze instantaneu pentru injecția de cod sau crearea de handle-uri neobișnuite (handle duplication) între procese.
Pasul 2 (Obiectiv): Asigurați-vă că EDR-ul monitorizează activitatea suspectă în procesul ms-teams.exe și în procesele copil msedgewebview2.exe (componenta browser).
2. Aplicați Principiul Least-Privilege Execution.
Pasul 1 (Conturi Utilizator): Asigurați-vă că utilizatorii se loghează și lucrează zilnic cu un cont standard, nu cu privilegii de administrator, pentru a limita amploarea atacului.
Pasul 2 (Acces Fișiere): Limitați strict permisiunile de acces la directoarele critice unde Teams stochează baza de date SQLite a cookie-urilor și cheile DPAPI.
3. Restricționați Executarea de Cod Neautorizat (BOF/DLL).
Pasul 1 (Control Aplicații): Utilizați soluții de Control Aplicații (ex: AppLocker, MDAC) pentru a permite rularea doar a codului și a fișierelor executabile cunoscute și de încredere în mediul de lucru.
Pasul 2 (Reguli de Securitate): Implementați reguli care blochează încărcarea de DLL-uri necunoscute sau de fișiere de tip Beacon în procesele sensibile ale Microsoft Teams.
4. Monitorizați Accesul Neobișnuit la API-ul de Protecție Date (DPAPI).
Pasul 1 (Instrument de Monitorizare): Utilizați soluții de securitate avansate pentru a monitoriza și a înregistra toate cererile de acces la cheile principale de criptare (Master Keys) ale utilizatorului.
Pasul 2 (Definire Alertă): Configurați alerte automate pentru orice tentativă neobișnuită sau suspectă de decriptare a datelor protejate de DPAPI.
5. Impuneți Autentificarea Multifactorială (MFA) pe Toate Conturile Office 365.
Pasul 1 (Activare Conturi): Asigurați-vă că MFA este activat la nivel de companie pe toate conturile de utilizator, inclusiv pe cele care accesează Teams și Exchange Online.
Pasul 2: Centrul de administrare Microsoft Entra (sau Azure AD) > Protection (Protecție) > Conditional Access (Acces condiționat) > Policies (Politici) > + New policy (Politică nouă) > Grant (Acordare) > Bifați Require multifactor authentication (Necesită MFA) sau similar.
6. Implementați Politici de Acces Condiționat (Conditional Access).
Pasul 1 (Configurare CA): Configurați în Azure AD politici de Acces Condiționat care să valideze din nou sesiunile de autentificare (tokenurile) în funcție de locația geografică, starea de conformitate a dispozitivului și riscul utilizatorului.
Pasul 2 (Revocare Sesiune): Configurați o durată scurtă de viață a sesiunilor (token lifetime) pentru a forța autentificarea frecventă.
7. Monitorizați Istoricul pentru Apelurile Neobișnuite la Microsoft Graph API.
Pasul 1 (Analiză SIEM/Log): Monitorizați istoricul de audit din Microsoft 365 (via SIEM) pentru a detecta apelurile API (făcute cu tokenul furat) care sunt neașteptate.
Pasul 2 (Identificare): Identificați modelele care sugerează mișcare laterală sau intenții malițioase (ex: accesarea SharePoint sau OneDrive după compromiterea Teams).
8. Rulați Actualizări Complete ale Sistemului de Operare și Aplicațiilor.
Pasul 1 (Automatizare): Asigurați-vă că toate actualizările critice (patch-urile) pentru Windows, aplicația Teams și componenta browser Edge WebView2 sunt instalate imediat.
Pasul 2 (Politici): Implementați politici care să forțeze repornirea sistemului, garantând că actualizările sunt aplicate complet și nu rămân vulnerabilități deschise.
9. Instruiți Utilizatorii Asupra Riscului de Phishing Intern (Post-Compromitere).
Pasul 1 (Training de Conștientizare): Informați angajații că un atacator poate folosi un cont Teams compromis pentru a trimite mesaje de phishing sau linkuri malițioase din interiorul organizației.
Pasul 2 (Protocol de Raportare): Stabiliți un protocol clar prin care utilizatorii să raporteze imediat orice mesaj sau comportament neobișnuit venit din partea unui coleg.
10. Limitați Accesul la Unelte de Administrare de la Distanță (C2) la Nivel de Rețea.
Pasul 1 (Monitorizare Trafic): Monitorizați traficul de ieșire (outbound) de la stațiile de lucru care ar putea indica o comunicare cu un server C2 (Command and Control), folosit de obicei pentru a controla BOF-ul.
Pasul 2 (Filtrare URL/IP): Utilizați filtre DNS și Firewall-uri pentru a bloca comunicarea către adrese IP și domenii malițioase cunoscute sau domenii noi, cu risc ridicat.
Pentru mai multe sfaturi de protectie și informații legate de securitatea cibernetică, vizitează regulat sigurantapenet.ro