Microsoft Teams utvider stadig funksjoner for samarbeid på tvers av organisasjoner, men nye muligheter åpner også for nye angrepsflater. Ontinue advarer om at gjester mister all Defender-beskyttelse når de går inn i eksterne "tenants", noe som kan gjøre dem sårbare for phishing, skadevare og misbruk av “beskyttelsesfrie soner” opprettet av angripere.

Annonse


Gjør du det, er du ubeskyttet

Trond Bie·

Sikkerhetsekspertene hos Ontinue har oppdaget grunnleggende problemer med hvordan Microsoft Teams er bygget på, feil som i verste fall kan medføre installasjon av skadevare og grov hacking.

Ekstern-tilkobling fjerner beskyttelsen

Problemet oppstår ved kobling fra et Teams-miljø internt til et eksternt et. Selskapet forklarer at brukere som opererer som gjester i et annet selskapsmiljø, er avhengig av de som inviterer sin beskyttelse mot trusler:

«Det er avgjørende å forstå denne forskjellen ettersom Microsoft fortsetter å utvide funksjoner for samarbeid på tvers av tenants, inkludert nye løsninger som gjør gjesteinvitasjoner enklere og mer sømløse. Disse forbedringene øker mulighetene for samarbeid, men de utvider også ansvaret: man må i enda større grad forsikre seg om at eksterne miljøer er pålitelige og riktig sikret.»

Man skal være klar over hvordan man eventuelt ikke er sikret om man kommuniserer utenfor sitt trygge Teams-miljø.

Vi trodde dette var tydelig kommunisert av Microsoft, men Ontinue lister opp «nøkkelfunn» som inkluderer:

  • Teams-sikkerhetspolicyer gjelder fra verts-tenanten, ikke fra din egen organisasjon
  • Når brukere aksepterer gjesteinvitasjoner til eksterne tenants, mister de all Defender for Office 365-beskyttelse (Safe Links, ZAP, malware-skanning)
  • Angripere kan opprette “beskyttelsesfrie soner” ved å deaktivere sikkerhet i egne tenants eller ved at den mangler i et standard Azure-miljø
  • Microsofts funksjon MC1182004 (aktivert som standard) gjør det svært enkelt å sende gjesteinvitasjoner
  • De fleste organisasjoner aksepterer gjesteinvitasjoner fra hvilken som helst Microsoft 365-tenant i verden som standard

Desto verre er det, mener ekspertene, at Microsoft åpnet denne måneden for Team-medlemmer å opprette samtaler med hvilke som helst epost-domener. Ikke bare mister man beskyttelse, men muligheten åpner for en helt ny angreps-sektor som inkluderer phishing:

Mottakerne får en invitasjon om å bli med som gjester. Funksjonen er aktivert som standard. Dette skaper en perfekt angrepsvei for trusselaktører som forstår hvordan sikkerhet på tvers av tenants faktisk fungerer. Hvis Teams Public Preview er aktivert, kan brukere selv slå på funksjonen og ta den i bruk umiddelbart.

Ontinue advarer mot phishing-angrep, og konkluderer med at «Denne forskningen avdekker et grunnleggende arkitektonisk hull i gjestetilgangen i Microsoft Teams: Når brukerne dine aksepterer gjesteinvitasjoner til eksterne tenants, forlater de fullstendig din egen sikkerhetsgrense. Det er verts-tenantens policyer som gjelder, ikke dine. Angripere utnytter dette ved å opprette tenants der all beskyttelse er deaktivert, og deretter invitere ofre inn i disse ubeskyttede miljøene. Microsofts MC1182004-funksjon, som er aktivert som standard, gjør det trivielt enkelt å sende ut slike invitasjoner.

Ekspertene lister opp tre råd alle selskap med Teams bør gjøre:

  • Begrens B2B-samarbeid til kun betrodde domener
  • Implementer tilgangspolicyer på tvers av tenants
  • Lær opp brukere om risikoen ved eksterne invitasjoner

💬 Hopp til kommentarene

Annonse