Neue Fronten der Gefahr: Phishing-Angriffe über Microsoft Teams

E-Mail-Phishing ist als gängige Angriffstaktik bekannt. Es wird aber oft vergessen, dass andere Kollaborationsplattformen genauso anfällig für Phishing sind. Wir haben darum ein eigenes „Hackertool“ entwickelt, um unsere Mitarbeitenden auf die Gefahren von Phishing über Microsoft Teams aufmerksam zu machen.

 

Umgehung von Warnhinweisen ermöglicht unbemerkten Chatzugriff

Im Juli 2023 stießen wir auf ein öffentlich verfügbares Hackertool namens TeamsPhisher (1), mit dem Nachrichten an beliebige Teams-Nutzer:innen versendet werden konnten, ohne dass sie entsprechend gewarnt wurden. Hierzu brauchte man nur deren E-Mail-Adressen, die leicht zu erhalten sind – sei es über eine Unternehmenswebsite oder Portale wie LinkedIn.

Normalerweise erhalten Nutzer:innen bei Microsoft Teams einen großen Warnhinweis, wenn eine Nachricht von einem externen Kontakt gesendet wird. Genau dies ließ sich mit dem TeamsPhisher umgehen. Wer dessen Nachricht öffnete, sah direkt den Chatverlauf. Besonders gefährlich war, dass sich über diesen Weg sogar Dateien (z.B. Python-Skripte) direkt an die Nutzer:innen versenden ließen.

     Übliche Warnmeldung bei Nachrichten von externen Kontakten

Abb.1: Übliche Warnmeldung bei Nachrichten  von externen Kontakten.   
 
Nachricht mit TeamsPhisher - ohne Warnmeldung
Abb.2: Nachricht mit TeamsPhisher - ohne Warnmeldung.

 

Vorsichtsmaßnahmen für externen Zugriff

Die Gefahr, externe Nachrichten ohne Warnmeldung zu erhalten, kann im Moment nur eingedämmt werden, indem lediglich der Kontakt mit bestimmten Organisationen erlaubt wird (Whitelisting). Das ist allerdings für Firmen, die häufig Kontakt zu wechselnden externen Partnern haben keine praktikable Option.

Als mittelständischer Dienstleister ist auch iteratec von diesem Problem betroffen. Darum begannen wir im November 2023 mit der Planung einer Teams-Phishing-Kampagne, um alle Mitarbeitenden für die Gefahren von externen Absendern zu sensitivieren.

 

Microsoft schließt den ursprünglichen Angriffsvektor 

Während des Aufsetzens des TeamsPhishers stellte sich allerdings heraus, dass die Sicherheitslücke zwischen Juli und November 2023 durch Microsoft behoben worden war.

Die erfolgte Mitigation behob jedoch unserer Einschätzung nach nur die Symptome und nicht die Ursache selbst. So beschlossen wir das Thema weiter zu beobachten. Tatsächlich ergab sich nur kurze Zeit später, durch ein anderes Vorgehen, eine neue Variante, die Warnung zu umgehen (2). Hierzu musste im Kalender manuell eine Onlinebesprechung erstellt werden und dort die gewählten Phishing-Opfer als Teilnehmer:innen hinzugefügt und der Besprechungschat für alle zugänglich gemacht werden. Nun konnten via Besprechungschat Nachrichten gesendet werden, ohne den Warnbildschirm (Abb.1) auszulösen. Ein wesentlicher Unterschied zu einer normalen Teams-Nachricht blieb jedoch: Die Phishing-Opfer wurden per E-Mail benachrichtigt, dass sie zu einer Onlinebesprechung eingeladen wurden.

 

Eigene Forschung

Inspiriert durch den neuen Bypass probierten wir selbst verschiedene Varianten der Nachrichtenversendung per Microsoft Graph-API aus und fanden schließlich eine Lösung um wieder ungewarnt Phishing-Nachrichten an Nutzer:innen zu versenden. Auf die technischen Details gehen wir an dieser Stelle nicht ein, um die Nachahmung des Konzepts nicht zu einfach zu gestalten (Responsible Disclosure). 

Mit unserem neuen Ansatz wurden zudem keine Benachrichtigungen mehr über ein Kalenderereignis erzeugt, welche die Empfänger:innen hätten misstrauisch machen können. Auch das Versenden von Dateien war wieder möglich, um etwa Malware auszuliefern. Lediglich eine kleine Warnung am oberen Rand des Chats und der Zusatz „(Extern)“ hinter dem Namen des Kontakts wiesen darauf hin, dass es sich um einen externen Kontakt handelte. Diese relativ unauffälligen Hinweise sind unserer Erfahrung nach sehr leicht zu übersehen und lassen sich durch geschickten Einsatz von UTF-8 Whitespaces sogar noch weiter verschleiern (4). Der große Warnhinweis, der eigentlich angezeigt werden sollte, wurde durch unser Tool erfolgreich vermieden.

 

Beispiel für einen Chat, der mit dem iteratec-Tool erstellt wurde

Abb.3: Beispiel für einen Chat, der mit dem iteratec-Tool erstellt wurde.
 

Implementierung eines eigenen Phishing-Tools

Auf Basis unseres Prototyps entwickelten wir nun noch eine voll automatisierte Version, welche Nachrichten mit spezifischen Links an alle E-Mail-Adressen einer Liste schicken konnte. Durch die spezifischen Links konnte genau nachverfolgt werden, wer diesen aufgerufen hatte. Damit verfügte iteratec nun über ein eigenes Teams-Phishing-Programm, welches besser und unauffälliger funktionierte als alle uns bekannten Varianten.

 

Durchführung der Phishing-Kampagne bei iteratec

In der Woche vor unserer Weihnachtsfeier schickten wir allen Mitarbeitenden eine Mitteilung und fordert sie darin auf ein Menü auszuwählen. Die Nachricht sah folgendermaßen aus:

 

Phishing-Nachricht-1

Abb.4: Phishing-Nachricht.
 

Die Nachricht war sehr ähnlich aufgebaut wie jene, welche wir für unsere internen Email-Phishing-Kampagnen verwenden und könnte eigentlich über die dieselben Merkmale als solche erkannt werden.

 

Bewertung der Ergebnisse

Trotz der Ähnlichkeiten haben wir ein Vielfaches an Klicks beobachtet – sogar im Security-Team 😜. Die Kampagne wurde sehr intensiv diskutiert und damit das Ziel erreicht Awareness auch für diesen Kommunikationskanal zu schaffen.

 

Nachgang

Die neue Variante die Sicherheitsfunktionen von Teams zu umgehen, wurde von iteratec via Responsible Disclosure im Dezember 2023 an Microsoft gemeldet und schließlich Ende 2023/Anfang 2024 seitens Microsoft behoben.

 

Phishing über Microsoft Teams bleibt aktuell

Dies bedeutet jedoch nicht, dass Microsoft Teams nun sicher vor Phishing-Angriffen ist. Es besteht immer die Möglichkeit, dass wieder neue Wege gefunden werden die Warnungen zu umgehen. So ist bereits während der Erstellung dieses Artikels die nächste Möglichkeit aufgetaucht Phishing-Nachrichten über Teams zu verschicken (5). Deshalb bleibt es auch weiterhin wichtig, Microsoft Teams mit Vorsicht zu verwenden und genau darauf zu achten wer einem da schreibt.

 

 

Christian_Mailer-2Christian Mailer - Principal Security Architect at iteratec. Building up zero trust enabled enterprise architectures is my main mission at the moment, phishing my colleagues for awareness my dirty hobby 😉

Maximilian VoitlMaximilian Voitl - Student trainee at iteratec. Developing software that challenges defensive measures, conducting internal attack simulations and evaluating the threats posed by third-party malware tools.

 

Quellen

[1] TeamsPhisher: Octoberfest7/TeamsPhisher: Send phishing messages and attachments to Microsoft Teams users (github.com)

[2] Bypass 10/23: Teams external participant splash screen bypass | BadOption.eu

[3] Selenium: https://www.selenium.dev/

[4] Evasion with unicode characters: https://dev.spamassassin.apache.narkive.com/Avn4G5BV/evasion-with-unicode-format-characters

[5] Bypass 01/24: https://badoption.eu/blog/2024/01/12/teams5.html

 

 

Haben Sie Fragen oder benötigen Sie Unterstützung?

Sprechen Sie uns gerne an.

 

 

Tags: Cyber Security, People & Company

Verwandte Artikel

In der IT-Branche und auch bei iteratec ist es nicht selbstverständlich, dass Frauen auf allen Hierarchie-Ebenen und in allen...

Mehr erfahren

Topics: Cyber Security, People & Company

Voraussichtlich werden dieses Jahr die Ausgaben für IT-Security in Deutschland die 10 Milliarden Euro Marke knacken. Aus gutem...

Mehr erfahren

Topics: Cyber Security, People & Company

Infolge einer wachsenden Bedrohungslage investieren Unternehmen immer mehr in Cyber Security.  Welche Rolle spielt dabei das ...

Mehr erfahren

Topics: Cyber Security, People & Company