Bonjour,
Lors d'une visite sur l'appli Teams et en naviguant dans les groups éxistants de mon entreprise, je me suis rendu compte qu'il était possible d'envoyer des mails directement à un group Teams. Jusqu'à l'à rien d'étrange. En revenche il n'y a aucun filtrage
quand à qui peut envoyer un mail.
Le problème commence ici, les adresses des groupes / sous-groupes ont toutes la même contruction (8chars+.<DomaineName>0.onmicrosoft.com@emea.teams.ms.
Les adresses n'étant pas filtrés l'ont pourrait se dire que les contenus le sont à minima, en réalité, non. J'ai envoyé un exploit meterpreter chiffré en Ngaî au format EXE, ca passe, un exploit meterpreter au format .ELF (sans obfusation) et mes pièces
jointes étaient bien présentes dans le tchat. Moralité, avec un mail bien structuré reproduisant un chat "normal", l'on peux facilement dupper l'ensemble des users présents dans le groupe produisant une porte ouverte au phishing ciblé et un moyen
de propagation de choix pour tout rootkit.
Pour énummérer les adresses viables, il suffit de créer des strings de 8CHARS aléatoire et de coupler avec le restant de l'adresse @mail et de bourrer l'envoi de mail, s'il n'y a pas de réponse de POSTMASTER disant que l'adresse n'est pas viable c'est qu'elle
est utilisée dans un groupe. (tests réalisés sur un domaine comprennant 350 groupes et sous-groupes, l'ensemble des adresses ont été trouvées en 8h avec un script python probablement mal écrit mais fonctionnel).
Exist t'il un moyen de filtrer les contenus des PJ envoyé par le biais des adresses des groupes autrement qu'en attendant que le client AV du endpoint ne crie à la mort ? Et est il possible de filtrer les ayants droits à l'envoi de mail dans un groupe ?
Et quelqu'un sait-il ou et comment sont analysés les PJs et documents postés sur ces groupes TEAMS ?
Merci d'avance.
ArianeBlow
RedTeam Auditor
Teams Mail bombing
