- 전문가들은 Microsoft 팀과 줌 고스트 콜이 숨기기에 적합하다고 말합니다.
- 공격자는 임시 턴 인증서를 받고 터널을 만들 수 있습니다.
- 판매자는 눈에 약점이 없기 때문에 보안 조치를 적용해야합니다.
Pretorian의 연구원들은 Zoom 및 Microsoft 팀의 선호도에서 사용하는 NAT (TURE) 서버를 사용하여 공격자 트래픽을 보내는 사후 설명 사령부 관리 기술 인 Ghost Calls에 빛을 발했습니다.
이 공격은 회의에 참석하는 동안 전화 회의를 얻은 다음 손상된 호스트와 공격자 기계 사이에 터널을 배치한다는 임시 턴 인증서를 납치함으로써 작동합니다.
모든 트래픽은 신뢰할 수있는 줌/팀 IP 및 도메인으로 구동되기 때문에 일반적으로 이니셔티브 내부에 흰색으로 나열되어 있으므로 이러한 유형의 납치 공격은 레이더 아래로 날 수 있습니다.
팀과 줌 공격은 민감합니다
Pretorian 은이 공격이 회사 방화벽, 프록시 및 TLS 검사를 통해 인프라를 허용하므로 Ghost Calls는 전통적인 조력 방어를 쉽게 피할 수 있다고 설명했습니다.
트래픽 패턴과 결합 된 단락 비디오 회의는 또한 침략 제어 도메인 및 서버에 대한 노출을 제거 할 수있는 사이버 범죄자들에게 도움이됩니다.
Pretorian은 그의 두 블로그 게시물 중 첫 번째로 화상 회의 플랫폼이 비교적 엄격한 주소 제어를 통해 환경에서 작동하도록 설계되었다고 설명합니다. 따라서 공격자가 이러한 시스템을 깨뜨릴 수 있으면 데이터가 고갈 가능성이 더 높을 수 있습니다.
“또한이 트래픽은 종종 AS 또는 기타 강력한 암호화를 사용하여 암호화됩니다. 이는 트래픽이 자연스럽게 무시되고 깊이로 분석하기가 불가능하여 공격자로 숨기는 데 적합한 장소가된다는 것을 의미합니다.”
턴 인증서는 일반적으로 2 ~ 3 일 후에 만료되므로 터널은 짧아 지지만 걱정 스럽지만 프리 테린은 벤더가 패치에 대한 필수적인 약점이 없으며, 대신 고스트 콜 공격을 방지하기 위해 추가 보호 도입에 초점을 맞춰야한다고 설명합니다.
