Der Videokonferenzdienst von Microsoft Mannschaften hindert Benutzer daran, Dateien aus externen Quellen zu teilen. Sicherheitsforscher haben jedoch behauptet, eine Möglichkeit entdeckt zu haben, mit der Angreifer Malware-Angriffe auf Organisationen starten können, die sie verwenden Microsoft Mannschaften. Die Behauptung wurde von dem in Großbritannien ansässigen Sicherheitsdienstleistungsunternehmen geltend gemacht Sprungsek. Ein Teil der cloudbasierten Microsoft 365-Dienste, Microsoft-Teams verfügt über 280 Millionen monatlich aktive Nutzer.
Wie dieser Fehler ausgenutzt werden kann
Angreifer können den Fehler ausnutzen, wenn eine Organisation Microsoft Teams in der Standardkonfiguration ausführt. In solchen Fällen ermöglicht Teams die Kommunikation mit Konten außerhalb des Unternehmens, die auch als „externe Mieter“ bezeichnet werden.
In einem Bericht haben die Forscher erklärt, dass diese Kommunikationsbrücke nicht nur Social-Engineering- und Phishing-Angriffe ermöglicht, sondern es Cyberkriminellen auch ermöglicht, bösartige Nutzdaten direkt an den Posteingang des Ziels zu senden.
Wie oben erwähnt, blockiert Teams mithilfe seiner clientseitigen Schutzmaßnahmen bereits die Dateiübermittlung von externen Mandantenkonten. Forscher haben jedoch herausgefunden, dass Angreifer die Einschränkung umgehen können, indem sie die interne und externe Empfänger-ID in der POST-Anfrage einer Nachricht ändern. Dadurch kann das System dazu verleitet werden, einen externen Benutzer als internen Benutzer zu behandeln.
Die Forscher testeten die Technik auch und konnten erfolgreich eine Befehls- und Kontrollnutzlast in den Posteingang einer Zielorganisation übermitteln. Ein solcher Angriff kann die bestehenden Sicherheitsmaßnahmen und Anti-Phishing-Schulungshinweise umgehen. Dadurch können Angreifer problemlos jede Organisation infizieren, die Microsoft Teams mit der Standardkonfiguration verwendet.
Wenn ein Angreifer außerdem eine Domäne registriert, die den Zielorganisationen auf Microsoft 365 ähnelt, könnten seine Nachrichten so aussehen, als kämen sie von jemandem innerhalb der Organisation und nicht von einem externen Mandanten. Dies erhöht auch die Wahrscheinlichkeit, dass das Opfer die Datei in sein System herunterlädt.
Die Antwort von Microsoft auf die Behauptung
Diese Sicherheitslücke wurde Microsoft gemeldet und das Unternehmen hat bestätigt, dass der Fehler legitim ist. Der Technologieriese hat jedoch erwähnt, dass die Sicherheitslücke „nicht die Anforderungen für eine sofortige Behebung erfüllt“, heißt es in dem Bericht.
Wenn Unternehmen außerdem externe Kommunikationskanäle aufrechterhalten müssen, können sie bestimmte Domänen in einer Zulassungsliste definieren, um das Risiko einer Ausnutzung zu verringern. Jumpsec hat das Unternehmen außerdem gebeten, externe, mandantenbezogene Ereignisse in den Teams hinzuzufügen, um solche Angriffe zu verhindern. Darüber hinaus können Unternehmen, die nicht auch eine regelmäßige Kommunikation mit externen Mietern pflegen müssen, diese Funktion auf der Videokonferenzplattform deaktivieren.
Wie dieser Fehler ausgenutzt werden kann
Angreifer können den Fehler ausnutzen, wenn eine Organisation Microsoft Teams in der Standardkonfiguration ausführt. In solchen Fällen ermöglicht Teams die Kommunikation mit Konten außerhalb des Unternehmens, die auch als „externe Mieter“ bezeichnet werden.
In einem Bericht haben die Forscher erklärt, dass diese Kommunikationsbrücke nicht nur Social-Engineering- und Phishing-Angriffe ermöglicht, sondern es Cyberkriminellen auch ermöglicht, bösartige Nutzdaten direkt an den Posteingang des Ziels zu senden.
Wie oben erwähnt, blockiert Teams mithilfe seiner clientseitigen Schutzmaßnahmen bereits die Dateiübermittlung von externen Mandantenkonten. Forscher haben jedoch herausgefunden, dass Angreifer die Einschränkung umgehen können, indem sie die interne und externe Empfänger-ID in der POST-Anfrage einer Nachricht ändern. Dadurch kann das System dazu verleitet werden, einen externen Benutzer als internen Benutzer zu behandeln.
Die Forscher testeten die Technik auch und konnten erfolgreich eine Befehls- und Kontrollnutzlast in den Posteingang einer Zielorganisation übermitteln. Ein solcher Angriff kann die bestehenden Sicherheitsmaßnahmen und Anti-Phishing-Schulungshinweise umgehen. Dadurch können Angreifer problemlos jede Organisation infizieren, die Microsoft Teams mit der Standardkonfiguration verwendet.
Wenn ein Angreifer außerdem eine Domäne registriert, die den Zielorganisationen auf Microsoft 365 ähnelt, könnten seine Nachrichten so aussehen, als kämen sie von jemandem innerhalb der Organisation und nicht von einem externen Mandanten. Dies erhöht auch die Wahrscheinlichkeit, dass das Opfer die Datei in sein System herunterlädt.
Die Antwort von Microsoft auf die Behauptung
Diese Sicherheitslücke wurde Microsoft gemeldet und das Unternehmen hat bestätigt, dass der Fehler legitim ist. Der Technologieriese hat jedoch erwähnt, dass die Sicherheitslücke „nicht die Anforderungen für eine sofortige Behebung erfüllt“, heißt es in dem Bericht.
Wenn Unternehmen außerdem externe Kommunikationskanäle aufrechterhalten müssen, können sie bestimmte Domänen in einer Zulassungsliste definieren, um das Risiko einer Ausnutzung zu verringern. Jumpsec hat das Unternehmen außerdem gebeten, externe, mandantenbezogene Ereignisse in den Teams hinzuzufügen, um solche Angriffe zu verhindern. Darüber hinaus können Unternehmen, die nicht auch eine regelmäßige Kommunikation mit externen Mietern pflegen müssen, diese Funktion auf der Videokonferenzplattform deaktivieren.