Is Microsoft Teams het nieuwe doelwit voor phishingaanvallen door het misbruiken van een kwetsbaarheid?
Microsoft Teams biedt niet alleen de mogelijkheid om te communiceren met mensen binnen je organisatie, maar ook met externe accounts. Deze functionaliteit vergemakkelijkt directere communicatie met klanten, leveranciers en handelspartners. Echter, externe accounts kunnen ook een bedreiging vormen. Onderzoekers van Cybersecurity Jumpsec Labs hebben ontdekt dat hackers Teams kunnen gebruiken om jou en je collega’s in de val te lokken.
Normaal gesproken is het in Teams niet toegestaan om bestanden te delen met externe contactpersonen. Gesprekken met externe gebruikers zijn duidelijk gelabeld en de mogelijkheid om bestanden te delen is uitgeschakeld. Maar hackers kunnen deze beperking omzeilen door het ID van het externe en interne account in een POST-verzoek naar Teams te wijzigen, ook wel bekend als een insecure direct object reference.
Interne phishing aanvallen
Dit stelt hen in staat om bestanden te delen alsof ze afkomstig zijn van een intern account. Vanaf dit punt verloopt de aanval op vergelijkbare wijze als een traditionele phishingaanval. De hacker doet zich voor als een betrouwbaar persoon en verzint een overtuigende reden waarom het slachtoffer het bestand zou moeten openen. Het kwaadaardige bestand wordt gepresenteerd als een SharePoint-bestand. Van e-mail naar chat.
Jumpsec Labs waarschuwt dat Teams mogelijk een populair doelwit kan worden voor aanvallers zodra ze deze methode ontdekken. Doordat Outlook al geruime tijd standaard macro’s blokkeert, is het voor hackers moeilijker geworden om slachtoffers via e-mail te misleiden. We hebben gezien dat hackers hun focus verlegden naar OneNote, maar nu Microsoft ook daar heeft ingegrepen, zijn ze op zoek naar nieuwe mogelijkheden. Volgens Jumpsec Labs zijn er genoeg redenen waarom Teams aantrekkelijk zou kunnen zijn. Het virus wordt verborgen in een bijgevoegd bestand in plaats van een link. Mensen zijn inmiddels gewend geraakt om niet zomaar op elke link te klikken die ze zien, maar ze downloaden bestanden nog steeds zonder veel nadenken. Het is essentieel dat werknemers worden getraind om kritisch om te gaan met bestanden.
Het lijkt erop dat Microsoft niet al te veel urgentie ziet in dit probleem. Jumpsec Labs heeft de eigenaar van Teams op de hoogte gebracht van de kwetsbaarheid, maar volgens Microsoft “voldoet deze niet aan de criteria om direct in te grijpen”, aldus de onderzoekers. In afwachting van een oplossing adviseert Jumpsec Labs om de instellingen voor externe accounts te controleren en alleen berichten van vertrouwde externe gebruikers te accepteren.