Sicherheitslücke in Microsoft Teams öffnet Phishing-Angriffen die Tür
IT-Sicherheitsdienstleister Ontinue warnt vor einer Schwachstelle in Microsoft Teams. Eine Funktion für den Chat mit externen Usern ermöglicht es Angreifern, Schutzmechanismen von Microsoft Defender zu umgehen. So können sie einfacher Phishing-Nachrichten oder Malware in Unternehmensnetzwerke einschleusen.
In einem Blogbeitrag warnt die Cybersicherheitsfirma Ontinue vor den Risiken des Gastzugangs in Microsoft Teams. Im Fokus steht die Funktion "Chat with Anyone", die Microsoft dieses Jahr einführte. Sie ermöglicht es, eine Unterhaltung mit jeder beliebigen E-Mail-Adresse zu beginnen - auch wenn die andere Person gar kein Teams-Konto besitzt. Wer die Einladung annimmt, tritt als Gast der Microsoft-365-Umgebung des Absenders bei.
Das Problem dabei: Wie die Forschenden von Ontinue erklären, setzen in diesem Szenario mehrere zentrale Sicherheitsmechanismen von Microsoft Defender aus. Dazu gehören die Analyse von Links, das Sandboxing von Anhängen oder die automatische Entfernung schädlicher Inhalte. Eine falsch konfigurierte Teams-Instanz wird so schnell zum Einfallstor für Phishing oder Ransomware.
Wie Angreifer den Schutz aushebeln
Der Gastzugang schafft einen sogenannten "Cross-Tenant Blind Spot", wie es im Blogbeitrag heisst. Das bedeutet: Wechselt ein User in die Teams-Umgebung eines externen Unternehmens, greifen einige Schutzmassnahmen von Defender nicht mehr. Infizierte Links, Nachrichten oder Dateien umgehen so die üblichen Sicherheitskontrollen.
In der Praxis erstellt ein Angreifer eine eigene Microsoft-Instanz und lädt seine Ziele zu einem Teams-Gespräch ein. Da die Einladungen direkt von Microsoft-Servern stammen, wirken sie legitim. Nimmt das Opfer die Einladung an, kann der Angreifer über den nun vermeintlich sicheren Kanal schädliche Links oder Dateien versenden. Die Mitarbeitenden wiegen sich in falscher Sicherheit. Ontinue beobachtet diese Angriffstechnik eigenen Angaben zufolge bereits in der Praxis.
Empfehlungen für Unternehmen
Unternehmen sollten daher ihre Richtlinien für den externen Zugriff in Microsoft Teams überprüfen, rät Ontinue. Konkret empfiehlt die Firma folgende Massnahmen:
- Die Funktion "Chat with Anyone" einschränken, wenn sie nicht zwingend erforderlich ist.
- Die Kommunikation auf eine Liste vertrauenswürdiger Domains beschränken.
- Gastkonten aktiv überwachen.
Abschliessend erinnert Ontinue daran, dass der Austausch mit Externen nicht den gleichen Sicherheitsstandards unterliegt wie die interne Kommunikation. Unternehmen sollten dies in ihrer Sicherheitsstrategie berücksichtigen.
Übrigens: Der Bund führt Microsoft 365 in allen Departementen ein - doch die Gruppe Verteidigung kann damit nur wenig anfangen, da sie ihre klassifizierten Dokumente nicht in der Microsoft-Cloud speichern darf. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
MITRE ATT&CK Framework: Wie Angreifer unentdeckt bleiben und Zugangsdaten stehlen
Cybersicherheit rückt näher an die Führungsebene
Quantenresilienz ist kein Zukunftsthema mehr
Wie leise Vögel fliegen
Update: Zürcher Stimmvolk verwirft Initiative zur digitalen Integrität
Zürcher Behörden beschlagnahmen Bitcoin-Millionen
Hornetsecurity zeichnet erste Schweizer Gold-Partner aus
Die Taubenbanden von New York
Sicherheitslücke in Microsoft Teams öffnet Phishing-Angriffen die Tür
