Sicherheitslücke in Microsoft Teams öffnet Phishing-Angriffen die Tür
IT-Sicherheitsdienstleister Ontinue warnt vor einer Schwachstelle in Microsoft Teams. Eine Funktion für den Chat mit externen Usern ermöglicht es Angreifern, Schutzmechanismen von Microsoft Defender zu umgehen. So können sie einfacher Phishing-Nachrichten oder Malware in Unternehmensnetzwerke einschleusen.
In einem Blogbeitrag warnt die Cybersicherheitsfirma Ontinue vor den Risiken des Gastzugangs in Microsoft Teams. Im Fokus steht die Funktion "Chat with Anyone", die Microsoft dieses Jahr einführte. Sie ermöglicht es, eine Unterhaltung mit jeder beliebigen E-Mail-Adresse zu beginnen - auch wenn die andere Person gar kein Teams-Konto besitzt. Wer die Einladung annimmt, tritt als Gast der Microsoft-365-Umgebung des Absenders bei.
Das Problem dabei: Wie die Forschenden von Ontinue erklären, setzen in diesem Szenario mehrere zentrale Sicherheitsmechanismen von Microsoft Defender aus. Dazu gehören die Analyse von Links, das Sandboxing von Anhängen oder die automatische Entfernung schädlicher Inhalte. Eine falsch konfigurierte Teams-Instanz wird so schnell zum Einfallstor für Phishing oder Ransomware.
Wie Angreifer den Schutz aushebeln
Der Gastzugang schafft einen sogenannten "Cross-Tenant Blind Spot", wie es im Blogbeitrag heisst. Das bedeutet: Wechselt ein User in die Teams-Umgebung eines externen Unternehmens, greifen einige Schutzmassnahmen von Defender nicht mehr. Infizierte Links, Nachrichten oder Dateien umgehen so die üblichen Sicherheitskontrollen.
In der Praxis erstellt ein Angreifer eine eigene Microsoft-Instanz und lädt seine Ziele zu einem Teams-Gespräch ein. Da die Einladungen direkt von Microsoft-Servern stammen, wirken sie legitim. Nimmt das Opfer die Einladung an, kann der Angreifer über den nun vermeintlich sicheren Kanal schädliche Links oder Dateien versenden. Die Mitarbeitenden wiegen sich in falscher Sicherheit. Ontinue beobachtet diese Angriffstechnik eigenen Angaben zufolge bereits in der Praxis.
Empfehlungen für Unternehmen
Unternehmen sollten daher ihre Richtlinien für den externen Zugriff in Microsoft Teams überprüfen, rät Ontinue. Konkret empfiehlt die Firma folgende Massnahmen:
- Die Funktion "Chat with Anyone" einschränken, wenn sie nicht zwingend erforderlich ist.
- Die Kommunikation auf eine Liste vertrauenswürdiger Domains beschränken.
- Gastkonten aktiv überwachen.
Abschliessend erinnert Ontinue daran, dass der Austausch mit Externen nicht den gleichen Sicherheitsstandards unterliegt wie die interne Kommunikation. Unternehmen sollten dies in ihrer Sicherheitsstrategie berücksichtigen.
Übrigens: Der Bund führt Microsoft 365 in allen Departementen ein - doch die Gruppe Verteidigung kann damit nur wenig anfangen, da sie ihre klassifizierten Dokumente nicht in der Microsoft-Cloud speichern darf. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Die Top-App-Dienstleister der vergangenen 5 Jahre nach Kategorien
Quantenresilienz ist kein Zukunftsthema mehr
Wer KI will, braucht das richtige Fundament
"KI wirkt wie ein Katalysator für das Thema Souveränität"
Die neue Netzwoche und das Cloud & Managed Services sind da
Cloud-Services und künstliche Intelligenz sicher nutzen
Technologie, die entlastet: Ganzheitliche Lösungen für Produktivität und Zusammenarbeit
Nutanix bestimmt neuen Sales Director für die Schweiz
Digitale Souveränität – handlungsfähig bleiben nach Schweizer Massstäben
