Dünya çapında 320 milyondan fazla kullanıcının iş yeri iletişiminde merkezi bir platform olan Microsoft Teams’teki kritik güvenlik açıkları, saldırganların yöneticilerin kimliğine bürünmesine ve mesajlara fark edilmeden müdahale etmesine olanak tanıyor.
Artık Microsoft tarafından yamalanan bu güvenlik açıkları, hem şirket dışı konukların hem de içerideki kişilerin sohbetlerde, bildirimlerde ve çağrılarda kimlik sahtekarlığı yapmasına olanak tanıyor ve bu da potansiyel olarak dolandırıcılığa, kötü amaçlı yazılım dağıtımına ve yanlış bilgiye yol açıyor.
Check Point, sorunu Mart 2024’te sorumlu bir şekilde Microsoft’a açıkladı. Sorunlar, işbirliği araçlarına duyulan güvenin, uzaktan çalışma altyapısını hedef alan gelişmiş tehdit aktörleri tarafından nasıl silah haline getirilebileceğini gösteriyor.
2017 yılında Microsoft 365’in bir parçası olarak piyasaya sürülen Teams, sohbet, görüntülü arama, dosya paylaşımı ve uygulamaları entegre ederek yeni kurulan şirketlerden Fortune 500 şirketlerine kadar işletmelerin vazgeçilmezi haline geliyor.
Check Point’in araştırması, mesajların içerik, mesaj türü, istemci mesaj kimliği ve imdisplayname gibi parametreleri içerdiği web sürümünün JSON tabanlı mimarisine odaklandı.
Saldırganlar, istemci mesaj kimliklerini yeniden kullanarak “Düzenlendi” etiketi olmayan mesajları düzenlemek ve geçmişi iz bırakmadan etkili bir şekilde yeniden yazmak için bunlardan yararlandı.
Bildirimler, imdisplayname değiştirilerek, CEO’lar gibi üst düzey yöneticilerden uyarılar çıkarılarak ve kullanıcıların acil ping’lere olan içgüdüsel güveninden yararlanılarak değiştirilebilir.
Özel sohbetlerde, konuşma konularının PUT uç noktası aracılığıyla değiştirilmesi, görünen adları değiştirdi ve değişen arayüzlerin önceki ve sonraki ekran görüntülerinde gösterildiği gibi, katılımcıları gönderenin kimliği konusunda yanılttı.
POST /api/v2/epconv yoluyla çağrı başlatma, katılımcı bölümlerinde displayName sahteciliğine, sesli veya görüntülü oturumlar sırasında arayan kimliklerinin sahtekarlığına izin verdi.
Bildirim sahteciliği adlı kusur, gönderen alanlarının uygun doğrulamadan yoksun olduğu 6.19.2’ye kadar iOS sürümlerini etkileyen orta önemde bir sorun (CVSS 6.5) olan CVE-2024-38197 olarak takip edildi.
Microsoft Teams Güvenlik Açığı Saldırı Senaryoları
Bu güvenlik açıkları Teams’e olan temel güveni aşındırarak onu gelişmiş kalıcı tehditler (APT’ler), ulus devlet aktörleri ve siber suçlular için bir aldatma vektörüne dönüştürüyor.
Dışarıdan gelen konuklar, içerideki kişiler olarak sızabilir, finansın kimliğine bürünmek, kimlik bilgilerinin toplanmasına veya yönetici direktifleri olarak gizlenen kötü amaçlı yazılım yüklü bağlantıların gönderilmesine yol açabilir.
İçeriden kişiler, çağrıları aldatarak, hassas tartışmalarda kafa karışıklığını yayarak veya iş e-postası gizliliğini ihlal etme (BEC) planlarını etkinleştirerek brifingleri bozabilir.
Gerçek riskler arasında sahte CEO bildirimlerinin banka havalelerini tetiklediği finansal dolandırıcılık; sahte konuşmalardan kaynaklanan gizlilik ihlalleri; ve tedarik zinciri saldırılarında manipüle edilmiş geçmişler yoluyla casusluk.
Teams’in fidye yazılımı ve veri sızdırma yoluyla kötüye kullanıldığına ilişkin son raporlarda görüldüğü gibi, Lazarus gibi gruplar da dahil olmak üzere tehdit aktörleri uzun süredir bu tür platformları sosyal mühendislik amacıyla hedef alıyor.
Bu kusurları zincirlemenin kolaylığı (örneğin, sahte bir bildirimin ardından sahte bir arama yapılması) tehlikeleri artırır ve potansiyel olarak kullanıcıları sırlarını açıklamaya veya zararlı eylemler gerçekleştirmeye yönlendirir.
Check Point, kusurları 23 Mart 2024’te açıkladı; Microsoft bunları 25 Mart’ta kabul etti ve düzeltmeleri aşamalı olarak onayladı.
Mesaj düzenleme sorunu 8 Mayıs 2024’te çözüldü; 31 Temmuz’a kadar özel sohbette değişiklikler; Ağustos ayındaki kullanıma sunulduktan sonra 13 Eylül’e kadar bildirimler (CVE-2024-38197); ve Ekim 2025’e kadar çağrı sahteciliği.
Artık tüm sorunlar istemciler arasında ele alınıyor ve güncellemelerin ötesinde hiçbir kullanıcı eylemi gerekmiyor. Ancak kuruluşların savunmaları katmanlara ayırması gerekiyor: kimlikler ve cihazlar için sıfır güven doğrulaması uygulamalı; Teams’deki yükleri taramak için gelişmiş tehdit önlemeyi dağıtın; veri kaybı önleme (DLP) politikalarını uygulamak; ve yüksek riskli talepler için bant dışı doğrulama konusunda personeli eğitin.
Eleştirel düşünme, görünürde güvenilir kaynaklardan gelse bile şüpheli iletişimleri her zaman doğrulamanın anahtarı olmaya devam ediyor. İşbirliği araçları geliştikçe, insanların güvenini sağlamak kodlara yama eklemek kadar hayati önem taşıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
