- 22,450
- 46
- 8 Ноя 2022
Мошенники нашли совершенно легальный способ обходить даже самые надёжные цифровые барьеры.
Расширение возможностей Microsoft Teams для работы с внешними пользователями приносит не только удобство, но и новые риски. Команда Ontinue описала механизм , который позволяет обойти защиту Microsoft Defender for Office 365 за счёт особенностей гостевого доступа и использовать инфраструктуру Microsoft для доставки фишинговых писем , почти не вызывая подозрений у почтовых фильтров.
Проблема связана с тем, что при работе в чужом тенанте пользователь получает защиту не от своей организации, а от инфраструктуры принимающей стороны. Если сотрудник принимает приглашение в качестве гостя во внешнем тенанте, на него начинают действовать политики безопасности другой компании. При этом гостевой доступ отличается от внешнего доступа в Teams: в первом случае пользователь фактически попадает внутрь чужой среды, где и ведётся общение.
По оценке Риса Даунинга из Ontinue, это создаёт архитектурный разрыв. Злоумышленник может развернуть собственный тенант Microsoft 365 на недорогой лицензии вроде Teams Essentials или Business Basic, где изначально нет Microsoft Defender for Office 365, либо отключить доступные средства защиты. Такой тенант превращается в своеобразную «зону без фильтров».
Далее атакующий проводит разведку, подбирает адреса в целевой организации и инициирует контакт через Microsoft Teams , указав e-mail жертвы. Сервис автоматически отправляет приглашение присоединиться к чату в качестве гостя. Письмо приходит из инфраструктуры Microsoft, поэтому успешно проходит проверки SPF, DKIM и DMARC. Почтовые шлюзы и решения для фильтрации обычно не считают такие уведомления подозрительными, так как они выглядят как легитимные сервисные сообщения.
Если получатель нажимает приглашение и принимает его, он получает гостевой доступ в тенант злоумышленника. Все последующие сообщения и вложения обрабатываются уже политиками безопасности этой внешней среды. Отсутствие механизмов наподобие Safe Links и Safe Attachments позволяет рассылать вредоносные ссылки и файлы практически без ограничений. При этом собственная организация пользователя может вообще не увидеть подозрительного трафика, так как атака происходит за пределами её контура.
Microsoft уже начала внедрять в Teams функцию обмена сообщениями с любым адресом электронной почты, в том числе для пользователей, которые не работают в этом сервисе. Функция включена по умолчанию, а отключить возможность отправлять такие приглашения можно через политику TeamsMessagingPolicy, изменив параметр «UseB2BInvitesToAddExternalUsers» на «false». Однако это не мешает сотрудникам получать приглашения от внешних тенантов, что сохраняет описанный вектор атаки.
Для снижения рисков специалисты Ontinue рекомендуют ограничить B2B-коллаборацию списком доверенных доменов, использовать кросс-тенантные политики доступа, при необходимости значительно ограничить внешние коммуникации в Teams и обучать сотрудников осторожному отношению к незапрошенным приглашениям во внешние чаты.
Расширение возможностей Microsoft Teams для работы с внешними пользователями приносит не только удобство, но и новые риски. Команда Ontinue описала механизм , который позволяет обойти защиту Microsoft Defender for Office 365 за счёт особенностей гостевого доступа и использовать инфраструктуру Microsoft для доставки фишинговых писем , почти не вызывая подозрений у почтовых фильтров.
Проблема связана с тем, что при работе в чужом тенанте пользователь получает защиту не от своей организации, а от инфраструктуры принимающей стороны. Если сотрудник принимает приглашение в качестве гостя во внешнем тенанте, на него начинают действовать политики безопасности другой компании. При этом гостевой доступ отличается от внешнего доступа в Teams: в первом случае пользователь фактически попадает внутрь чужой среды, где и ведётся общение.
По оценке Риса Даунинга из Ontinue, это создаёт архитектурный разрыв. Злоумышленник может развернуть собственный тенант Microsoft 365 на недорогой лицензии вроде Teams Essentials или Business Basic, где изначально нет Microsoft Defender for Office 365, либо отключить доступные средства защиты. Такой тенант превращается в своеобразную «зону без фильтров».
Далее атакующий проводит разведку, подбирает адреса в целевой организации и инициирует контакт через Microsoft Teams , указав e-mail жертвы. Сервис автоматически отправляет приглашение присоединиться к чату в качестве гостя. Письмо приходит из инфраструктуры Microsoft, поэтому успешно проходит проверки SPF, DKIM и DMARC. Почтовые шлюзы и решения для фильтрации обычно не считают такие уведомления подозрительными, так как они выглядят как легитимные сервисные сообщения.
Если получатель нажимает приглашение и принимает его, он получает гостевой доступ в тенант злоумышленника. Все последующие сообщения и вложения обрабатываются уже политиками безопасности этой внешней среды. Отсутствие механизмов наподобие Safe Links и Safe Attachments позволяет рассылать вредоносные ссылки и файлы практически без ограничений. При этом собственная организация пользователя может вообще не увидеть подозрительного трафика, так как атака происходит за пределами её контура.
Microsoft уже начала внедрять в Teams функцию обмена сообщениями с любым адресом электронной почты, в том числе для пользователей, которые не работают в этом сервисе. Функция включена по умолчанию, а отключить возможность отправлять такие приглашения можно через политику TeamsMessagingPolicy, изменив параметр «UseB2BInvitesToAddExternalUsers» на «false». Однако это не мешает сотрудникам получать приглашения от внешних тенантов, что сохраняет описанный вектор атаки.
Для снижения рисков специалисты Ontinue рекомендуют ограничить B2B-коллаборацию списком доверенных доменов, использовать кросс-тенантные политики доступа, при необходимости значительно ограничить внешние коммуникации в Teams и обучать сотрудников осторожному отношению к незапрошенным приглашениям во внешние чаты.
- Источник новости
- www.securitylab.ru
