概要:Microsoft Teamsの脆弱性を悪用する新ツール
サイバーセキュリティ研究者であるTier Zero Securityは、Microsoft Teamsのクッキー暗号化における重大な弱点を悪用する特殊なBeacon Object File (BOF) ツールを公開しました。このツールにより、攻撃者はユーザーのチャットメッセージやその他の機密通信を窃取することが可能になります。
脆弱性の詳細:DPAPIマスターキーの利用
この脆弱性は、Microsoft Teamsが現代のChromiumベースのブラウザとは異なる方法でクッキー暗号化を処理していることに起因します。ChromeやEdgeのような最新のブラウザがSYSTEM権限で実行されるCOMベースのIElevatorサービスを利用して暗号化キーを保護するのに対し、Microsoft Teamsは依然として現在のユーザーのData Protection API (DPAPI) マスターキーに依存しています。このより弱い保護メカニズムが、攻撃者が管理者権限を必要とせずにクッキーを復号化する機会を生み出しています。
Microsoft Teamsは、アプリケーション内でブラウザコンテンツを表示するためにChromiumベースのコンポーネントであるmsedgewebview2.exeプロセスを使用しています。認証後、Teamsは通常のブラウザと同様にSQLiteデータベースにクッキーを保存します。しかし、これらのクッキーを保護する暗号化キーは、ユーザーのDPAPIマスターキーを通じてアクセスできるため、ユーザーレベルの権限で操作する脅威アクターにとって、抽出が著しく容易になります。
攻撃手法:teams-cookies-bofツールの動作
新たに公開されたteams-cookies-bofツールは、既存のCookie-Monster-BOFフレームワークをMicrosoft Teamsを標的とするように修正したものです。攻撃手法は以下のステップで進行します。
- BOFを
ms-teams.exeプロセスのコンテキスト内で実行します。 - ツールは、クッキーファイルへのオープンハンドルを維持しているウェブビュー子プロセスを検索します。
- このハンドルを複製し、ファイルの内容を読み取り、ダウンロードします。
- 同時に、現在のユーザーのDPAPIマスターキーを使用してクッキー暗号化キーを復号化します。
研究者たちは、以前のTeamsクッキー窃取の試みが、Teamsアプリケーションの実行中にクッキーファイルがロックされたままであるという制限に直面していたことを発見しました。新しいBOFアプローチは、DLLハイジャックやCOMハイジャックのような技術を通じてプロセス内で動作することで、この障害を回避し、Teamsプロセスを完全に終了させる必要がなくなります。
攻撃の影響と対策
攻撃者が復号化されたクッキーを入手すると、Teams、Skype、およびMicrosoft Graph APIと対話できる認証トークンにアクセスできるようになります。このアクセスにより、脅威アクターは既存のTeamsメッセージを読み取ったり、被害者になりすまして新しいメッセージを送信したり、ユーザーのスコープ内の他のMicrosoft 365リソースにアクセスしたりする可能性があります。盗まれたトークンは、GraphSpyのようなポストエクスプロイトツールと連携して、Microsoftエコシステム全体にわたる攻撃対象を拡大するために利用される可能性があります。
復号化の方法論は、元のCookie-Monster-BOFツールと同一であり、BOFファイルを実行できる任意のCommand and Control (C2) フレームワークをサポートしています。この互換性により、この技術は様々な脅威アクターやレッドチームオペレーターによって容易に採用される可能性があります。
Microsoft Teamsを使用している組織は、異常なプロセス動作、ハンドル複製活動、およびTeamsクッキーデータベースへの不正アクセス試行を監視できるエンドポイント検出および対応ソリューションを導入すべきです。
元記事: https://gbhackers.com/new-bof-tool-bypasses-microsoft-teams-cookie-encryption/