Güvenlik araştırmacıları, Microsoft Teams’de, saldırganların kullanıcıları kötü amaçlı kiracı ortamlarına davet ederek tüm Office 365 için Defender korumalarını atlamasına olanak tanıyan kritik bir güvenlik açığı keşfetti.
Bu kusur, Teams’in kiracılar arası işbirliğini ve konuk erişimini yönetme biçimindeki temel bir mimari boşluktan yararlanıyor.
Güvenlik açığı çoğu güvenlik ekibinin kritik bir yanlış anlamasından kaynaklanıyor. Çalışanlar, harici Teams kiracılarına gelen misafir davetlerini kabul ettiğinde, kendi organizasyonları tarafından sağlanan tüm güvenlik korumalarını kaybederler.
Bunun yerine, saldırganların tüm savunmayı kapatabileceği, ev sahibi kiracının güvenlik politikalarının veya bu politikaların eksikliğinin kapsamına girerler.
Mükemmel Saldırı Vektörü
Microsoft’un, Teams kullanıcılarının yalnızca bir e-posta adresi kullanarak herkesle sohbet başlatmasına olanak tanıyan MC1182004 özelliğini Kasım 2025’te kullanıma sunması, bu saldırıyı çok daha pratik hale getirdi.
Bu özellik, dünya çapındaki tüm kiracılarda varsayılan olarak etkindir ve kuruluşların katılımını gerektirmez.
Saldırı şu şekilde işliyor: Saldırgan, Teams Essentials deneme sürümü veya Business Basic aboneliği gibi düşük maliyetli bir Microsoft 365 kiracısı kurar.
Bu bütçe lisansları Office 365 için Defender’ı içermediğinden kiracıyı yerleşik korumalardan mahrum bırakır. Güvenli Bağlantı taraması yok. Kötü amaçlı yazılım tespiti yok. Sıfır Saatte Otomatik Temizleme Yok. Hiç bir şey.
Saldırgan daha sonra MC1182004’ü kullanarak meşru kuruluşlardaki çalışanları hedef almak üzere iş ortaklıkları veya satıcı tartışmaları gibi ikna edici bahanelerle hazırlanmış Teams sohbet davetiyeleri gönderir.
Kurbanlar bu davetleri kabul ettiklerinde saldırganın korumasız ortamına girmiş olurlar.
Saldırganlar içeri girdikten sonra, Güvenli Bağlantı taramasını tetiklemeden kimlik avı bağlantıları gönderebilir, ek analizi olmadan kötü amaçlı yazılım dağıtabilir ve kurbanın organizasyonu tamamen habersiz kalırken geniş ölçekte sosyal mühendislik gerçekleştirebilir.
Saldırının güvenlik sınırlarının dışında gerçekleşmesi nedeniyle pahalı Office 365 Defender yatırımları hiçbir zaman etkinleştirilmez.
Ontinue’ya göre güvenlik açığı, tehlikeli bir varsayılan yapılandırmayı da vurguluyor: çoğu kuruluş, dünya çapındaki herhangi bir Microsoft 365 kiracısından gelen konuk davetlerini kısıtlama olmadan kabul ediyor.
Güvenlik ekipleri çeşitli kontroller uygulayarak bu riski azaltabilir. İlk olarak kuruluşlar, Microsoft Entra ID’nin Harici işbirliği ayarları aracılığıyla B2B misafir davetlerini yalnızca güvenilir alan adlarıyla sınırlayabilir.
İkinci olarak, B2B işbirliğini varsayılan olarak engellemek veya kısıtlamak için ayrıntılı kiracılar arası erişim politikalarını yapılandırabilirler.
Üçüncüsü, Teams Yönetim Merkezi aracılığıyla harici Teams iletişimini yalnızca belirli harici alan adlarıyla sınırlayabilirler.
Kuruluşlar ayrıca bir PowerShell komutunu kullanarak MC1182004 özelliğini kapatabilir; ancak bu, kötü niyetli kiracılardan gelen gelen davetleri değil yalnızca giden davetleri engeller.
Bu kusur, Teams’in kendisindeki teknik bir kusuru temsil etmiyor; bunun yerine, güvenlik ekiplerinin tam olarak kavrayamadığı, kiracılar arası işbirliğinin mimari gerçekliğini temsil ediyor.
Microsoft, esnek çalışmayı desteklemek için harici işbirliği yeteneklerini genişletmeye devam ederken, saldırganların ortaya çıkan koruma açıklarından geniş ölçekte yararlanabilmesi için kuruluşların konuk erişim politikalarını proaktif bir şekilde güvence altına alması gerekiyor.
Araştırma kritik bir prensibin altını çiziyor: Güvenlik korumaları ev kiracısını değil kaynak kiracısını takip eder.
Kuruluşlar bu ayrımı anlayıp buna göre hareket edene kadar, kullanıcıları göz önünde gerçekleştirilen karmaşık saldırılara karşı savunmasız kalacaktır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.