Forscher haben eine Schwachstelle in der jüngsten Aktualisierung von Microsoft Teams entdeckt, die es Drittanbietern ermöglicht, Dateien an Mitarbeiter des Unternehmens zu senden, was normalerweise verboten ist. Dieser Fehler eröffnet Cyberkriminellen einen unkomplizierteren und billigeren Weg, um Malware in Unternehmen einzuschleusen und dabei ausgeklügelte Phishing-Kampagnen zu umgehen. Microsoft hat derzeit nicht die Absicht, dieses Problem vorrangig anzugehen.

Max Corbridge und Tom Ellson vom Red Team von JUMPSEC Labs haben die Lücke in der External Tenants-Funktion von Microsoft Teams gefunden. Die Schwachstelle ermöglicht es Cyberkriminellen, Malware in Dateien einzuschleusen, die an die Mitarbeiter eines Unternehmens gesendet werden, und so die meisten modernen Anti-Phishing-Schutzmaßnahmen zu umgehen.

Laut Corbridge „betrifft diese Sicherheitslücke jede Organisation, die Teams in der Standardkonfiguration verwendet“. Cyberkriminelle könnten diesen Fehler ausnutzen, um zahlreiche Standard-Sicherheitskontrollen für die Auslieferung von Nutzdaten zu umgehen, betonte er.

Microsoft Teams wird in erster Linie für die organisationsübergreifende Kommunikation verwendet. Aufgrund der Standardkonfiguration von Microsoft können Benutzer von außerhalb des Unternehmens Kontakt mit den Mitarbeitern aufnehmen. Dies ebnet den Weg für Cyberkriminelle, die App für die Verbreitung von Malware zu missbrauchen. Corbridge und Ellson umgingen die client-seitigen Sicherheitskontrollen innerhalb von 10 Minuten. Dadurch wurde verhindert, dass externe Mieter potenziell schädliche Dateien an interne Benutzer senden konnten.

Eine vertrauenswürdige Sharepoint-Domäne stellt die bösartige Nutzlast als Datei im Teams-Posteingang der Zielperson bereit. Sie erbt den vertrauenswürdigen Ruf von Sharepoint anstelle einer schädlichen Phishing-Website.

Nachdem der Fehler an Microsoft gemeldet wurde, bestätigte das Unternehmen seine Legitimität, erklärte aber, dass er keine „sofortige Wartung“ erfordere. Die Forscher schlugen Abhilfemaßnahmen vor. Dazu gehören die Anpassung der Sicherheitseinstellungen, um die Kommunikation auf bestimmte Domänen zu beschränken, und die Aufklärung der Mitarbeiter über potenzielle Social-Engineering-Risiken im Zusammenhang mit Produktivitätsanwendungen.

Wenn diese Abhilfemaßnahmen nicht praktikabel sind, schlagen die Forscher vor, dass Unternehmen Web-Proxy-Protokolle verwenden. Diese Protokolle können Warnungen oder Einblicke in Mitarbeiter liefern, die Anfragen für externe Nachrichten annehmen, und so die Cybersicherheitsmaßnahmen verbessern.

Trotz der Einfachheit dieses Ansatzes besteht die Herausforderung darin, diese Daten in ein hilfreiches Telemetrieinstrument zu verwandeln. Derzeit werden keine spezifischen Details wie Benutzernamen oder der Inhalt der fraglichen Nachricht angegeben. Sie bietet jedoch einen gewissen Einblick in die Häufigkeit dieser Art von Transaktionen innerhalb einer Organisation. Dies könnte eine wichtige Information für die Entwicklung weiterer Minderungsstrategien sein.

Diese Entdeckung drängt Unternehmen dazu, sofort Maßnahmen zu ergreifen, um die größtmögliche Sicherheit ihrer digitalen Kommunikations- und Dateifreigabetools zu gewährleisten. Dazu gehören die Durchführung regelmäßiger Sicherheitsaudits, die Aktualisierung der Software mit den neuesten Patches und Sicherheitsverbesserungen sowie die Schulung der Mitarbeiter über die potenziellen Cybersicherheitsrisiken im Zusammenhang mit diesen Tools.

Diese jüngste Schwachstelle verdeutlicht die ständigen und sich weiterentwickelnden Bedrohungen, denen Unternehmen in der heutigen digitalen Landschaft ausgesetzt sind. Da die Abhängigkeit von Tools für die digitale Zusammenarbeit wie Microsoft Teams zunimmt, müssen Softwareanbieter und Unternehmen bei ihren Bemühungen um Cybersicherheit wachsam und proaktiv bleiben, um sich vor solchen Schwachstellen zu schützen.

Microsoft hat noch keine offizielle Stellungnahme oder einen Reaktionsplan zu der von Corbridge und Ellson entdeckten Schwachstelle in Microsoft Teams vorgelegt. Daher sollten Unternehmen die vorgeschlagenen Schutzmaßnahmen umsetzen und sich über eventuelle Aktualisierungen auf dem Laufenden halten.