Onderzoekers hebben een fout ontdekt in de recente update van Microsoft Teams, waardoor bronnen van derden bestanden naar medewerkers van het bedrijf kunnen sturen, wat normaal gesproken een geblokkeerde activiteit is. Deze bug opent een minder ingewikkelde en goedkopere weg voor cybercriminelen om malware in doelbedrijven te introduceren, waarbij geraffineerde phishing-campagnes worden omzeild. Microsoft is momenteel niet van plan om dit als prioriteit aan te pakken.
Max Corbridge en Tom Ellson, van het Red Team van JUMPSEC Labs, ontdekten de maas in de functie External Tenants van Microsoft Teams. Door deze fout kunnen cybercriminelen malware infiltreren in bestanden die naar werknemers van een organisatie worden gestuurd, waardoor de meeste moderne verdedigingsmiddelen tegen phishing worden omzeild.
Volgens Corbridge “treft deze kwetsbaarheid elke organisatie die Teams in de standaardconfiguratie gebruikt.” Cybercriminelen zouden deze bug kunnen misbruiken om talloze standaard beveiligingscontroles voor het afleveren van payloads te omzeilen, benadrukte hij.
Microsoft Teams wordt vooral gebruikt voor communicatie tussen organisaties. Door de standaardconfiguratie van Microsoft kunnen gebruikers van buiten het bedrijf contact opnemen met de werknemers. Dit maakt de weg vrij voor cybercriminelen om de app te misbruiken voor het afleveren van malware. Corbridge en Ellson omzeilden beveiligingscontroles aan de clientzijde binnen 10 minuten. Dit voorkwam dat externe huurders mogelijk schadelijke bestanden naar interne gebruikers konden sturen.
Een vertrouwd Sharepoint-domein serveert de schadelijke payload als een bestand in de Teams-inbox van het doelwit. Het erft de vertrouwensreputatie van Sharepoint in plaats van een schadelijke phishingwebsite.
Na het melden van de bug aan Microsoft, bevestigde het bedrijf de legitimiteit ervan, maar verklaarde dat het geen “onmiddellijke reparatie” vereiste. De onderzoekers stelden verzachtende maatregelen voor. Denk hierbij aan het aanpassen van beveiligingsinstellingen om communicatie te beperken tot specifieke domeinen en het informeren van medewerkers over potentiële risico’s van social engineering in verband met productiviteitsapps.
Als deze maatregelen onpraktisch zijn, stellen de onderzoekers voor dat organisaties gebruik maken van web proxy logs. Deze logbestanden kunnen waarschuwingen of inzicht geven in medewerkers die verzoeken voor externe berichten accepteren, waardoor hun cyberbeveiligingsmaatregelen worden verbeterd.
Ondanks de eenvoud van deze aanpak ligt de uitdaging in het omzetten van deze gegevens in een nuttig telemetriehulpmiddel. Op dit moment geeft het geen specifieke details zoals gebruikersnamen of de inhoud van het bericht in kwestie. Het biedt echter wel enig inzicht in de frequentie van dit soort transacties binnen een organisatie. Dit zou vitale informatie kunnen zijn voor het ontwikkelen van verdere strategieën om de schade te beperken.
Deze ontdekking spoort organisaties aan om onmiddellijk stappen te ondernemen om hun digitale communicatie- en bestandsdelingstools zo goed mogelijk te beveiligen. Dit omvat regelmatige beveiligingsaudits, het updaten van software met de nieuwste patches en beveiligingsverbeteringen en het trainen van werknemers over de potentiële cyberbeveiligingsrisico’s van deze tools.
Deze nieuwste fout benadrukt de voortdurende en evoluerende bedreigingen van organisaties in het huidige digitale landschap. Naarmate de afhankelijkheid van digitale samenwerkingstools zoals Microsoft Teams toeneemt, moeten softwareleveranciers en organisaties waakzaam en proactief blijven in hun cyberbeveiligingsinspanningen om zich te beschermen tegen dergelijke kwetsbaarheden.
Microsoft heeft nog geen officiële verklaring of reactieplan afgegeven over het Microsoft Teams-fout dat door Corbridge en Ellson is ontdekt. Organisaties worden daarom aangemoedigd om de voorgestelde maatregelen te implementeren en alert te blijven op updates.
0 reacties