Siber güvenlik araştırmacıları, saldırganların Teams’deki konuk erişimi özelliği aracılığıyla Office 365 için Microsoft Defender korumalarını atlamasına olanak tanıyan, kiracılar arası bir kör noktaya ışık tuttu.
Ontinue güvenlik araştırmacısı Rhys Downing bir raporda, “Kullanıcılar başka bir kiracıda misafir olarak çalıştığında, korumaları ev organizasyonları tarafından değil tamamen barındırma ortamı tarafından belirleniyor.” dedi.
“Bu gelişmeler işbirliği fırsatlarını artırıyor, ancak aynı zamanda bu dış ortamların güvenilir ve uygun şekilde güvenli olmasını sağlama sorumluluğunu da genişletiyor.”
Bu gelişme, Microsoft’un bu aydan itibaren Teams’de, kurumsal iletişim platformunu kullanmayanlar da dahil olmak üzere kullanıcıların e-posta yoluyla herkesle sohbet etmesine olanak tanıyan yeni bir özelliği kullanıma sunmaya başlamasıyla birlikte geliyor. Değişikliğin Ocak 2026 itibarıyla dünya genelinde kullanıma sunulması bekleniyor.
Microsoft, duyurusunda “Alıcı, sohbet oturumuna konuk olarak katılması için bir e-posta daveti alacak ve bu, kesintisiz iletişim ve işbirliğine olanak sağlayacak” dedi. “Bu güncelleme harici katılımı basitleştirir ve esnek çalışma senaryolarını destekler.”
Alıcının zaten Teams’i kullanması durumunda, uygulama aracılığıyla doğrudan harici mesaj isteği şeklinde bilgilendirilir. Bu özellik varsayılan olarak etkindir ancak kuruluşlar TeamsMessagingPolicy’yi kullanarak “UseB2BInvitesToAddExternalUsers” parametresini “false” olarak ayarlayarak bu özelliği kapatabilir.
Bununla birlikte, bu ayar yalnızca kullanıcıların diğer kullanıcılara davetiye göndermesini engeller. Bu onların harici kiracılardan davet almasını engellemez.
Bu aşamada, konuk erişiminin, kullanıcıların Teams’e sahip ancak kuruluşlarının dışında bulunan kişileri bulmasına, aramasına ve onlarla sohbet etmesine olanak tanıyan harici erişimden farklı olduğunu belirtmekte fayda var.
Ontinue tarafından vurgulanan “temel mimari boşluk”, bir kullanıcı harici bir kiracıya gelen konuk davetini kabul ettiğinde Ekipler için Office 365 için Microsoft Defender korumalarının geçerli olmayabileceği gerçeğinden kaynaklanmaktadır. Başka bir deyişle kullanıcı, diğer kiracının güvenlik sınırına girerek hesabının bulunduğu yerde değil, görüşmenin barındırıldığı yerde güvenlik politikalarına tabi tutulur.
Üstelik kullanıcının, saldırganın güvenlik politikalarının belirlediği kötü niyetli bir ortamda korumasız bir misafir haline gelebileceği bir senaryonun kapısını aralıyor.
Varsayımsal bir saldırı senaryosunda, bir tehdit aktörü, kiracılarındaki tüm korumaları devre dışı bırakarak veya varsayılan olarak belirli seçeneklere sahip olmayan lisanslardan yararlanarak “korumasız bölgeler” oluşturabilir. Örneğin saldırgan, Office 365 için Microsoft Defender ile birlikte gelmeyen Teams Essentials veya Business Basic gibi düşük maliyetli bir lisansı kullanarak kötü amaçlı bir Microsoft 365 kiracısını çalıştırabilir.
Korunmasız kiracı kurulduktan sonra saldırgan, daha fazla bilgi toplamak için hedef kuruluşta keşif yapabilir ve kurbanın e-posta adresini girerek Teams aracılığıyla iletişim başlatabilir, bu da Teams’in sohbete konuk olarak katılmak için otomatik bir davet göndermesine neden olur.
Saldırı zincirinin belki de en endişe verici yönü, mesajın Microsoft’un kendi altyapısından geldiği ve SPF, DKIM ve DMARC kontrollerini etkili bir şekilde atladığı göz önüne alındığında, e-postanın kurbanın posta kutusuna ulaşmasıdır. E-posta güvenlik çözümlerinin, yasal olarak Microsoft’tan geldiği için e-postayı kötü amaçlı olarak işaretlemesi pek olası değildir.
Kurban daveti kabul ederse, saldırganın kiracısına, sonraki tüm iletişimin gerçekleşeceği misafir erişimine izin verilir. Tehdit aktörü, Güvenli Bağlantılar ve Güvenli Ekler taramalarının eksikliğinden yararlanarak kimlik avı bağlantıları gönderebilir veya kötü amaçlı yazılım içeren ekler dağıtabilir.
Downing, “Kurbanın organizasyonu tamamen habersiz durumda” dedi. “Saldırı güvenlik sınırlarının dışında gerçekleştiği için güvenlik kontrolleri hiçbir zaman tetiklenmedi.”
Bu tür saldırılara karşı korunmak için kuruluşların B2B iş birliği ayarlarını yalnızca güvenilir alanlardan misafir davetlerine izin verecek şekilde kısıtlaması, kiracılar arası erişim denetimleri uygulaması, gerekli değilse harici Teams iletişimini kısıtlaması ve kullanıcıları harici kaynaklardan gelen istenmeyen Teams davetlerine karşı dikkatli olmaları konusunda eğitmeleri önerilir.
Hacker News, yorum almak için Microsoft’a ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.