- Especialistas dizem que as equipes e o zoom da Microsoft são perfeitos para esconder chamadas fantasmas
- Os atacantes podem obter credenciais de turno temporárias e criar um túnel
- Os fornecedores devem implementar salvaguardas, porque não há vulnerabilidades à vista
Pesquisadores de Pretoriano Lança a luz sobre chamadas fantasmas, uma técnica de evasão de comando e controle pós-exploração que envia o tráfego de invasores por meio de travessia legítima usando relés em torno de servidores NAT (Turn) usados por empresas como Zoom e Microsoft Teams, para evitar a detecção.
O ataque funciona seqüestrando as credenciais temporárias de turnos que as chamadas de conferência recebem quando ingressam em uma reunião e, em seguida, estabelecendo um túnel entre o host comprometido e a máquina do atacante.
Como todo o tráfego é roteado por meio de IPs e domínios de zoom/equipes confiáveis, que geralmente são de propriedade interna interna, esses tipos de ataques de seqüestros podem voar sob o radar.
Equipes e zoom suscetíveis a ataques
Praetorian explicou que, como o ataque aproveita a infraestrutura já permitida por meio de firewall corporativo, proxies e inspeção de TLS, as chamadas fantasmas podem evitar facilmente as defesas tradicionais.
Misturando o tráfego com os padrões normais de tráfego em vídeo de baixa latência também ajuda os cibercriminosos, que podem eliminar a exposição de domínios e servidores controlados por atacantes
Pretoriano explica no primeiro de seus dois Postagens do blog Que as plataformas de videoconferência “são projetadas para funcionar mesmo em ambientes com controles de saída relativamente rigorosos”, portanto, se um invasor puder entrar nesses sistemas, poderá ter uma chance maior de exfiltração de dados.
“Além disso, esse tráfego geralmente é criptografado de ponta a ponta usando AES ou outra criptografia forte. Isso significa que o tráfego é naturalmente fortemente ofuscado e impossível de analisar em profundidade, o que o torna um lugar perfeito para se esconder como agressor”, acrescentou os pesquisadores.
As credenciais de Turn normalmente expiraram após dois a três dias, para que os túneis tenham vida curta, mas, assustadoramente, o pretoriano explica que não há necessariamente uma vulnerabilidade para os fornecedores remendam, acrescentando que eles devem se concentrar na introdução de mais salvaguardas para evitar ataques de chamadas fantasmas.
Fique conectado