概要

セキュリティ研究者らは、Microsoft Teamsからアクセストークンを窃取する高度な手法を発見しました。これにより、機密性の高い企業コミュニケーション、メール、SharePointドキュメントへの不正アクセスが可能になる可能性があります。この攻撃は、Microsoftの生産性スイートに依存する組織にとって重大なセキュリティリスクをもたらし、窃取されたトークンは企業ネットワーク内でのラテラルムーブメントやソーシャルエンジニアリング攻撃に悪用される可能性があります。

攻撃の手口

攻撃者はまず被害者のコンピューターに初期アクセス権を獲得し、Microsoft Teamsがディスクに保存している認証トークンを抽出します。これらのトークンはMicrosoftサービスへのデジタルキーとして機能するため、攻撃者はパスワードを必要とせずにユーザーを偽装できます。一度取得されると、攻撃者はTeamsの会話を読み取ったり、メールにアクセスしたり、共有ドキュメントを閲覧したり、正規のユーザーを装ってメッセージを送信したりすることが可能になります。この能力は、組織全体に広がる高度な攻撃後の活動への道を開きます。

トークン抽出プロセス

この攻撃は、Microsoft Teamsが暗号化された認証データを保存する方法を悪用します。セキュリティ研究者らは、認証プロセス中にMicrosoft Teamsが`msedgewebview2.exe`という組み込みのChromiumベースのブラウザエンジンを使用して子プロセスを生成することを発見しました。このブラウザコンポーネントは、ユーザーのAppDataディレクトリにあるデータベースファイルに暗号化されたCookieを書き込みます。暗号化メカニズムは、マシン固有のキーを使用して機密データを暗号化するWindowsセキュリティ機能であるDPAPI（Data Protection API）に依存しています。攻撃者は、Teamsのローカルキャッシュ内のJSON設定ファイルに保存されている暗号化キーを見つけることで、この暗号化をバイパスできます。このキーと暗号化されたCookie値を抽出することで、AES-256-GCM暗号化を使用して認証トークンを復号化できます。研究者らは、この抽出プロセス全体を自動化するRust製の概念実証ツールを開発し、攻撃の現実的な実現可能性を実証しました。

攻撃後の活動と影響

攻撃者がTeamsのアクセストークンを取得すると、Microsoft Graph APIと連携して様々な悪意のある活動を実行できます。彼らは、侵害されたユーザーアカウントのコンテキスト内で、Teamsの会話を取得したり、メッセージを読み書きしたり、メールにアクセスしたりできます。セキュリティ研究者らは、窃取されたトークンをGraphSpyのような攻撃後のツールにロードすることで、追加の認証を必要とせずにMicrosoft Graph APIエンドポイントと不正に連携できることも実証しました。この影響は単純なデータ窃盗にとどまりません。攻撃者は侵害されたアカウントを使用して、同僚にフィッシングメッセージを送信したり、ネットワーク内での永続性を確立したり、信頼性を高めたソーシャルエンジニアリング攻撃を実行したりできます。悪意のある活動が信頼された内部アカウントから発信されるため、検出は著しく困難になります。

推奨される対策

組織は、Teamsの設定ファイルや暗号化キーへのアクセスを監視できるエンドポイント検出および対応（EDR）ソリューションを導入する必要があります。セキュリティチームは、厳格なアクセス制御を施行し、不審なTeams APIアクティビティを監視し、初期侵害からデバイスを保護するためのユーザー教育を行うべきです。さらに、Microsoft Teamsユーザーは、システムが定期的なセキュリティ更新を受け取り、この攻撃に必要な初期アクセスを防ぐために最新のアンチウイルスソリューションを実行していることを確認する必要があります。

元記事: https://gbhackers.com/hackers-steal-microsoft-teams-chats-emails/