Onderzoekers op het gebied van cyberbeveiliging hebben licht geworpen op een blinde vlek tussen verschillende tenants, waardoor aanvallers de beveiliging van Microsoft Defender voor Office 365 kunnen omzeilen via de gasttoegangsfunctie in Teams.
“Als gebruikers als gast in een andere tenant opereren, wordt hun bescherming volledig bepaald door die hostingomgeving, niet door hun thuisorganisatie”, zegt Ontinue-beveiligingsonderzoeker Rhys Downing in een rapport.
“Deze verbeteringen vergroten de samenwerkingsmogelijkheden, maar vergroten ook de verantwoordelijkheid om ervoor te zorgen dat die externe omgevingen betrouwbaar en goed beveiligd zijn.”
De ontwikkeling komt omdat Microsoft vanaf deze maand is begonnen met het uitrollen van een nieuwe functie in Teams waarmee gebruikers via e-mail met iedereen kunnen chatten, inclusief degenen die het zakelijke communicatieplatform niet gebruiken. De wijziging zal naar verwachting in januari 2026 wereldwijd beschikbaar zijn.
“De ontvanger ontvangt een e-mailuitnodiging om als gast deel te nemen aan de chatsessie, waardoor naadloze communicatie en samenwerking mogelijk wordt”, aldus Microsoft in de aankondiging. “Deze update vereenvoudigt externe betrokkenheid en ondersteunt flexibele werkscenario’s.”
Indien de ontvanger al gebruik maakt van Teams, wordt hij of zij via de app direct op de hoogte gesteld in de vorm van een extern berichtverzoek. De functie is standaard ingeschakeld, maar organisaties kunnen deze uitschakelen met behulp van TeamsMessagingPolicy door de parameter ‘UseB2BInvitesToAddExternalUsers’ in te stellen op ‘false’.
Dat gezegd hebbende, voorkomt deze instelling alleen dat gebruikers uitnodigingen naar andere gebruikers kunnen sturen. Het weerhoudt hen er niet van om uitnodigingen van externe huurders te ontvangen.
In dit stadium is het vermeldenswaard dat gasttoegang anders is dan externe toegang, waardoor gebruikers mensen kunnen vinden, bellen en chatten die Teams hebben maar zich buiten hun organisatie bevinden.
De “fundamentele architectonische kloof” die door Ontinue wordt benadrukt, komt voort uit het feit dat Microsoft Defender voor Office 365-beveiligingen voor Teams mogelijk niet van toepassing zijn wanneer een gebruiker een gastuitnodiging voor een externe huurder accepteert. Met andere woorden: door de beveiligingsgrens van de andere tenant te betreden, wordt de gebruiker onderworpen aan beveiligingsbeleid waar het gesprek wordt gehost en niet waar het account van de gebruiker zich bevindt.
Bovendien opent het de deur naar een scenario waarin de gebruiker een onbeschermde gast kan worden in een kwaadaardige omgeving die wordt gedicteerd door het beveiligingsbeleid van de aanvaller.
In een hypothetisch aanvalsscenario kan een bedreigingsacteur ‘beschermingsvrije zones’ creëren door alle beveiligingen in zijn tenants uit te schakelen of door gebruik te maken van licenties waarvoor bepaalde opties standaard ontbreken. De aanvaller kan bijvoorbeeld een kwaadaardige Microsoft 365-tenant opzetten met behulp van een goedkope licentie zoals Teams Essentials of Business Basic, die niet standaard bij Microsoft Defender voor Office 365 wordt geleverd.
Zodra de onbeschermde tenant is ingesteld, kan de aanvaller vervolgens een verkenning van de doelorganisatie uitvoeren om meer informatie te verzamelen en contact te leggen via Teams door het e-mailadres van het slachtoffer in te voeren, waardoor Teams een automatische uitnodiging verzendt om als gast aan de chat deel te nemen.
Misschien wel het meest zorgwekkende aspect van de aanvalsketen is dat de e-mail in de mailbox van het slachtoffer terechtkomt, aangezien het bericht afkomstig is van de eigen infrastructuur van Microsoft, waardoor de SPF-, DKIM- en DMARC-controles effectief worden omzeild. Het is onwaarschijnlijk dat oplossingen voor e-mailbeveiliging de e-mail als schadelijk markeren, omdat deze legitiem van Microsoft afkomstig is.
Mocht het slachtoffer de uitnodiging toch accepteren, dan krijgt hij/zij gasttoegang in de tenant van de aanvaller, waar alle daaropvolgende communicatie plaatsvindt. De bedreigingsacteur kan phishing-links verzenden of bijlagen met malware verspreiden door te profiteren van het ontbreken van scans van Veilige Links en Veilige Bijlagen.
“De organisatie van het slachtoffer is er totaal niet van op de hoogte”, zei Downing. “Hun veiligheidscontroles zijn nooit in werking getreden omdat de aanval buiten hun veiligheidsgrenzen plaatsvond.”
Om zich tegen deze aanvalslinie te beschermen, wordt organisaties aanbevolen om de instellingen voor B2B-samenwerking te beperken zodat alleen gastuitnodigingen van vertrouwde domeinen worden toegestaan, toegangscontroles voor meerdere tenants te implementeren, externe Teams-communicatie te beperken als dit niet nodig is, en gebruikers te trainen om op te letten op ongevraagde Teams-uitnodigingen van externe bronnen.
The Hacker News heeft contact opgenomen met Microsoft voor commentaar en we zullen het verhaal bijwerken als we iets horen.
