أعلنت شركة Tier Zero Security عن تطوير أداة جديدة من نوع Beacon Object File (BOF) مصممة لاستخراج ملفات تعريف الارتباط الخاصة بتطبيق Microsoft Teams دون التأثير على عمل التطبيق أو إيقافه، في خطوة وصفت بأنها تكشف عن ثغرة خطيرة في أنظمة الحماية داخل بيئات العمل المؤسسية.
وتبني الأداة على أبحاث سابقة كشفت أن Teams يحتفظ ببيانات اعتماد حساسة، من بينها رموز وصول يمكن استغلالها لانتحال هوية المستخدم والوصول إلى محادثاته ورسائله الإلكترونية ووثائقه داخل منظومة Microsoft 365.
تستخدم الأداة الجديدة، التي أطلقت عليها Tier Zero اسم Teams-Cookies-BOF، أسلوباً متقدماً لتجاوز آليات قفل الملفات داخل التطبيق، مستندة إلى تقنية مستخدمها سابقاً في أدوات مثل Cookie-Monster-BOF التي تستهدف المتصفحات.
آلية الاختراق: تجاوز القيود والوصول إلى قواعد بيانات التوثيق
استندت الأداة إلى تحليل تفصيلي لآلية مصادقة Teams، التي تعتمد على عملية msedgewebview2.exe، وهي مكون من متصفح Chromium مدمج داخل التطبيق يتولى إجراءات تسجيل الدخول عبر خدمات Microsoft الإلكترونية. وأثناء عملية المصادقة، تخزن ملفات تعريف الارتباط داخل قاعدة بيانات SQLite بطريقة مشابهة للمتصفحات، وتحتوي هذه الملفات على رموز تمنح الوصول إلى محادثات Teams وميزات Skype وواجهة Microsoft Graph الخاصة بخدمات Office 365.
لكن في حين تستخدم متصفحات Chromium الحديثة آليات تشفير متقدمة تعتمد على خدمة IElevator التي تعمل بصلاحيات SYSTEM، يعتمد Teams على واجهة حماية أبسط تعرف باسم Data Protection API (DPAPI)، والمقترنة بمفتاح المستخدم المحلي، ما يجعل فك تشفير هذه الملفات أسهل عند الوصول إلى المفتاح.
ولتجنب إغلاق التطبيق أو إيقافه، وهو ما قد يثير إنذارات أمنية، تستخدم Teams-Cookies-BOF أسلوب حقن في العمليات داخل ms-teams.exe للوصول إلى العمليات الفرعية التي تحتفظ بملفات تعريف الارتباط مفتوحة، ثم تقوم بنسخ المقابض النشطة وقراءة البيانات مباشرة، قبل فك تشفيرها باستخدام مفتاح DPAPI.
تداعيات أمنية على المؤسسات واستخدامات محتملة للهجوم
يتيح هذا الأسلوب للمهاجمين الحصول على رموز وصول تمكنهم من تنفيذ أوامر عبر واجهات Microsoft Graph، وقراءة الرسائل أو إرسال محتوى تصيدي باسم المستخدم المستهدف. كما يمكن للأداة العمل داخل أي عملية أخرى تملك الامتيازات نفسها، ما يوسع نطاق الاستغلال ليشمل تطبيقات أخرى تستخدم مكونات WebView المشابهة.
ويشير الباحثون إلى أن آلية فك التشفير في الأداة تطابق تماماً أسلوب Cookie-Monster-BOF، باستخدام خوارزمية AES-256-GCM بعد استخراج قيمة nonce والبيانات المشفرة من الحقول الموسومة بـv10 في قاعدة البيانات.
تتوفر الأداة بشكل علني عبر GitHub، ويمكن استخدامها ضمن أي منصة C2 تدعم تشغيل حمولات Beacon، ما يجعلها أداة اختبار قوية لفِرَق Red Team، لكنها في الوقت نفسه تمثل خطراً كبيراً في حال إساءة استخدامها من قبل جهات هجومية.
دعوة لتعزيز الدفاعات ورصد سلوكيات الحقن في العمليات
حذر خبراء الأمن من أن هذا الاكتشاف يبرز فجوة متزايدة بين آليات حماية Teams والمتصفحات الحديثة، داعين المؤسسات إلى تعزيز المراقبة السلوكية لعمليات الحقن، وتطبيق مبدأ الحد الأدنى من الصلاحيات، وإضافة قواعد كشف تستهدف الوصول غير المصرح به إلى DPAPI أو محاولات التعامل مع المقابض النشطة في WebView.
ويؤكد الباحثون أن الاعتماد المتزايد على Microsoft Teams في بيئات العمل الهجينة يجعل من هذه الثغرات مصدر قلق حقيقي، ويستلزم مراجعة مستمرة للطبقات الأمنية المدمجة في التطبيقات الإنتاجية التي تعمل عبر المتصفحات الداخلية.
