Door een kwetsbaarheid in Microsoft Teams uit te buiten, kunnen aanvallers kwaadaardige bestanden via een extern account versturen. Wordt Teams het nieuwe speelveld voor phishing?
Microsoft Teams laat je toe om niet enkel met mensen binnen de organisatie te converseren, maar ook met externe accounts. Dit biedt een handige weg voor meer directere communicatie met klanten, leveranciers en handelspartners. Maar die externe accounts kunnen ook een wolf in schaapskleren zijn. Cybersecurity Jumpsec Labs ontdekte dat hackers vrij spel kunnen krijgen in Teams om jou of je collega’s in de val te laten lopen.
Normaal gezien is het in Teams niet mogelijk om bestanden te delen met een contactpersoon buiten je organisatie. Gesprekken met externen staan als zodanig gelabeld en de deelfunctie is uitgeschakeld. Maar hackers kunnen die beperking omzeilen door in een POST-verzoek aan Teams het ID van het externe en interne account te wisselen. Dit heet in vaktermen een insecure direct object reference.
Hierdoor kunnen ze wel bestanden delen als ware ze een intern account. Vanaf hier verloopt de aanvalsmethode zoals een klassieke phishingaanval. De hacker doet zich voor als een betrouwbaar iemand en verzint een goede reden waarom het slachtoffer het bestand zou moeten binnentrekken. Het kwaadaardige bestand neemt de vorm aan van een SharePoint-bestand.
Van mail naar chat
Jumpsec Labs waarschuwt dat wanneer aanvallers deze methode ontdekken, Teams wel eens tot een populaire aanvalsvector zou kunnen uitgroeien. Omdat Outlook al een tijdje macro’s standaard blokkeert, is het voor hackers moeilijker geworden om nog slachtoffers via mail in de val te lokken. We zagen de focus van hackers eerst richting OneNote verschuiven, maar nu Microsoft ook daar heeft ingegrepen, zoeken aanvallers naar nieuwe wegen.
lees ook
Bescherm je tegen malware: blokkeer OneNote-bestanden in Outlook
Er zijn volgens Jumpsec Labs genoeg redenen waarom Teams die weg kan zijn. Het virus zit verstopt achter een bijgevoegd bestand en niet een link. Mensen zijn ondertussen geconditioneerd om niet meer op elke link die ze zien te klikken, maar bestanden worden nog sneller zonder nadenken gedownload. Werknemers moeten ook getraind worden om kritisch te leren omgaan met bestanden.
Niets aan de hand
Microsoft lijkt er niet al te veel graten in te zien. Jumpsec Labs zou de Teams-eigenaar al verwittigd hebben van de kwetsbaarheid, maar volgens Microsoft ‘voldoet die niet aan de criteria om onmiddellijk in te grijpen’, dixit de onderzoekers. In afwachting van een oplossing adviseert Jumpsec Labs om de instellingen voor externe accounts te bekijken en alleen berichten van betrouwbare externen te aanvaarden.