Microsoft Teams, küresel çapta işletmelerde iletişimin ana aracı haline geldi. Bu nedenle güvenlik ekipleri, kimlik avı e-postaları, kötü amaçlı bağlantılar ve kötü amaçlı yazılımlar gibi tehlikelere karşı koruma sağlamak amacıyla Office 365 için Microsoft Defender gibi koruma hizmetlerine çok fazla zaman ve para harcıyor.
Ancak güvenlik firması Ontinue’nun 26 Kasım Çarşamba günü yayınlanan yeni araştırması, Microsoft Teams’in dış ortaklarla işbirliğinin standart kurulumunda, B2B Konuk Erişimi olarak bilinen ve saldırganların bir şirketin Microsoft Defender korumalarını tamamen atlamasına olanak tanıyan büyük bir güvenlik açığını gösteriyor.
Misafir Olarak Güvenliğinizi Kim Kontrol Ediyor?
Sorun aslında Teams’deki bir yazılım hatası değil; çalışanların harici gruplarla çalışırken güvenliğin nasıl yönetildiğiyle ilgilidir. Ontinue’nun blog yazısı bunu açıkça ortaya koyuyor; Personeliniz dışarıdan gelen bir daveti kabul edip başka bir şirketin sohbetine katıldığında, güvenlikleri artık kendi organizasyonları tarafından belirlenmez. Bunun yerine araştırma, güvenliğin “tamamen barındırma ortamı tarafından” kontrol edildiğini buldu.
Bu bulgu oldukça endişe vericidir. Bir kullanıcı bir misafir davetini kabul ettiği anda, Güvenli Bağlantılar (bir bağlantıya tıklamadan önce bir bağlantının tehlikeli olup olmadığını kontrol eden sistem) ve kötü amaçlı mesajları geriye dönük olarak silmek için tasarlanmış Sıfır Saat Otomatik Temizleme (ZAP) dahil olmak üzere tüm ev güvenlik özelliklerini anında kaybeder. Saldırganlar bu durumu istismar ediyor. Saldırganlar bunu biliyor ve güvenlik politikaları tamamen kapalıyken kendi temel Teams hesaplarını oluşturabilir, bu da temelde mükemmel bir tuzak oluşturabilir.
Daha fazla araştırma, saldırganın minimum düzeyde kaynağa ihtiyaç duyduğunu ortaya çıkardı. Düşük maliyetli bir abonelik veya deneme sürümü kullanarak temel bir Microsoft 365 ortamı kurabilirler. Bu temel hesaplar Defender gibi güvenlik paketlerine sahip olmadıkları için varsayılan olarak korunmazlar; bu, saldırganın “korunmasız bölge” elde etmek için herhangi bir karmaşık kuruluma ihtiyaç duymadığı anlamına gelir.
Kolay Yol
Microsoft’un Kasım 2025’te kullanıma sunduğu ve çoğu kullanıcı için varsayılan olarak açık olan bir özellik (MC1182004) nedeniyle risk daha da basit hale geldi. Bu ayar, şu anda Teams kullanmayan kişiler de dahil olmak üzere herhangi bir Teams kullanıcısının herhangi bir e-posta adresiyle sohbet başlatmasına olanak tanır. Kurban, gerçek görünümlü bir Microsoft daveti alır ve kötü amaçlı, korumasız ortama girmek için yalnızca tek bir tıklamaya ihtiyacı vardır.
Bu kolay davet yöntemi, çoğu kuruluşun varsayılan olarak dünya çapındaki herhangi bir şirketten gelen misafir davetlerini kabul etmesi gerçeğiyle birleştiğinde, birçok şirketin açığa çıkması anlamına gelir. Saldırganlar içeri girdikten sonra herhangi bir güvenlik uyarısı görünmeden çalışanlara kolayca kimlik avı bağlantıları ve kötü amaçlı yazılım gönderebilir. Ayrıca bilgi sızdırabilir (veya hassas verileri çalabilir) ve büyük ölçekli sosyal mühendislik saldırıları gerçekleştirebilirler.
Uzmanlar Acil Eylem Çağrısında Bulundu
Ontinue, şirketlerin yapılandırmalarını hızla değiştirmelerini ve konuk davetlerini yalnızca açıkça güvendikleri alan adlarıyla sınırlandırmalarını şiddetle tavsiye ediyor.
Sektör liderleri de bulgulara ağırlık vererek bakış açılarını Hackread.com ile paylaştı. Bunun sadece yama değil, konfigürasyon değişikliği gerektiren ciddi bir mimari sorun olduğunu vurguladılar.
Keeper Security Baş Bilgi Güvenliği Sorumlusu Shane Barney, saldırının aldatıcı doğasına dikkat çekti: “Tanıdık arayüz, güvenliğin tutarlı kaldığı izlenimini verebilir, ancak mevcut korumalar tamamen barındırma kiracısının nasıl yapılandırıldığına bağlıdır.” Kuruluşların “erişimin uygun şekilde sınırlandırıldığından ve hassas sistemlere bağlı faaliyetlerin sürekli olarak izlendiğinden” emin olmaları gerektiğini ekledi.
Bugcrowd Saldırı Güvenliği Stratejisi ve Operasyonlarından Sorumlu Kıdemli Başkan Yardımcısı Julian Brownlow Davies, kullanıcılar için rahatsız edici gerçeği açıkladı: “Kullanıcılarınız başka birinin kiracısına misafir olarak geçtiği anda, kendi Office 365 için Defender korumalarınız etkin bir şekilde ortadan kalkar.” Saldırganların işbirliği özelliklerini kötüye kullanmaları nedeniyle “saldırganların ‘meşru’ işbirliği özelliklerini kötüye kullanacaklarını varsaymanız gerekir” sonucuna vardı.
Son olarak ColorTokens Baş Evangelisti Agnidipta Sarkar, acil politika müdahalesinin gerekli olduğunu vurguladı: “Microsoft bu güvenlik açığını giderene kadar, kuruluşların bu durumu derhal ele alacak bir politika oluşturması ve daha önce bilinmeyen hiç kimsenin Teams’i kullanarak yaptığı tüm B2B toplantılarına izin vermemesi gerekiyor.” Şirketlerin, Teams’in önceden tanımlanmış etki alanlarına B2B bağlantılarına izin vermesini sağlamak için teknik kontroller yapılandırmasını öneriyor.