便利機能とその仕様と小さなバグを組み合わせると、結構なことができます。
今回の登場するアイテムはこういうラインナップです。
- Microsoft Teams タブ
- Microsoft Power Apps
- Power Automateサービスによるワークフローを設定できる権限のある正規従業員のPC
- 不十分なドメイン文字列チェック
- 自動化機能の動作するiframeの機構が親ウィンドウからなんら認証を必要とせずにトークンを入手できるという仕様のようなもの
これらを全部混ぜ合わせて電子レンジにかけると、正規従業員のPCから自由にメールを送受信できる環境が手に入ります。
メールだけじゃないです。
こんなことができるようになります。
- その従業員のメール全部の読み取りや、新規メールの送信
- その従業員のはいっているTeamsチャンネルのすべてのメッセージの読み取りや、返信
- その従業員のOneDriveのファイルの読み取りや書き込み
- その従業員のSharePointのファイルの読み取りや書き込み
これをどう使うと思いますか。
BEC(Business E-mail Compromise:ビジネスメール詐欺)をこのPCから実施すると、とてもリアルなものができそうじゃないですか?
その人の従来のすべてのメールを読み取り、じっくり文体を研究し、メールに出てくる相手を吟味し、そのPCからターゲットの人にメールすることができます。
まさにその従業員がメールしているように見えそうじゃないでしょうか。
怖いですね。
でも安心してください。
パッチはすでに提供されていますので、意識の高い活動ができている場合には、これは脅威ではありません。
参考記事(外部リンク):Stealing tokens, emails, files and more in Microsoft Teams
through malicious tabs
medium.com/tenable-techblog/stealing-tokens-emails-files-and-more-in-microsoft-teams-through-malicious-tabs-a7e5ff07b138
| この記事をシェア |
|
|---|
