Microsoft Teams’in en son sürümünde, JUMPSEC’in Red Team üyeleri Max Corbridge (@CorbridgeMax) ve Tom Ellson (@tde_sec) tarafından yakın zamanda ortaya çıkarılan bir güvenlik açığı vardı.
Bu kusur nedeniyle, Microsoft Teams’in varsayılan yapılandırmasına dayanan kuruluşlara kötü amaçlı yazılım enjekte edilmesi olasılığı vardır.
Microsoft Teams, her ay 280 milyondan fazla aktif kullanıcı tarafından kullanılıyor ve kuruluşların Microsoft 365 kullanarak konuşmaları ve birlikte çalışmaları için popüler bir yol.
Ekip Güvenlik Açığı
Bu güvenlik açığından başarılı bir şekilde yararlanılması, tehdit aktörlerinin istemci tarafındaki güvenlik kontrollerinden kurtulmasını sağlar. Bu güvenlik özelliği, kuruluş dışındaki kullanıcıların kuruluşun dahili kullanıcılarına herhangi bir dosya göndermesini yasaklar.
Corbridge bir raporda, keşfettikleri iletişim köprüsünün daha hayati olduğunu çünkü zararlı şeyleri doğrudan birinin e-postasına gönderebileceğini ve bunun onları kandırmaktan daha etkili olduğunu iddia etti.
Bunun dışında, Jumpsec’in iki Kırmızı Takım üyesi, mevcut sınırlamayı aşmak için bir çözüm buldu.
Bunu, dahili ve harici alıcılar için bir mesajın POST isteğindeki alıcı kimliğini değiştirerek yaptılar, böylece sistemi harici bir kullanıcıyı dahili kullanıcı olarak tanıması için kandırdılar.
Pragmatik denemelerde, araştırmacılar tekniği uyguladılar. Kırmızı takım tatbikatlarının bir parçası olarak gizlice faaliyet gösterirken, bir hedef organizasyonun gelen kutusuna bir komuta ve kontrol yükünü başarıyla sızdırdılar.
Saldırganlar, güvenlik önlemlerini ve kimlik avı önleme eğitimini atlayarak Microsoft Teams kullanan kuruluşlara kolayca bulaşır ve bunun varsayılan yapılandırmasından yararlanır.
Saldırgan, hedefin Microsoft 365’ine benzer bir etki alanını kaydettirerek, harici yerine dahili görünen iletiler oluşturarak hedefin şüphe duymadan dosyayı indirme şansını artırabilir.
Microsoft’tan Yanıt
Araştırmacılar, gözlemlenen önemli etki nedeniyle anında bir yanıt bekleyerek bulgularını Microsoft’a bildirdiler.
Microsoft’un kusurun varlığını kabul etmesine rağmen, yanıtı, sorunun acilen ele alınması için aciliyet eksikliğini ima ederek acil eylem eşiğini karşılamadığını gösterdi.
Riski en aza indirmek için, harici kullanıcılarla düzenli iletişim gerektirmeden Microsoft Teams kullanan kuruluşlar bu özelliği devre dışı bırakmalıdır. Ve bunu yapmak için aşağıda bahsettiğimiz basit adımları izlemelisiniz:-
- Her şeyden önce, Microsoft Teams Yönetim Merkezi’ne gidin.
- Ardından Harici Erişim seçeneğine erişin.
- Bundan sonra, harici yönetilmeyen Teams kullanıcılarıyla sohbeti devre dışı bırakmanız gerekir.
Kuruluşlar, harici iletişim kanallarını sürdürürken istismar risklerini azaltmak için belirli etki alanları için bir izin verilenler listesi oluşturabilir.