Microsoft ostrzega, iż popularna platform Teams staje się celem ataków, zarówno ze strony przestępców, jak i aktorów sponsorowanych przez państwa. Trend obserwowany przez zespół Microsoft Threat Intelligence pokazuje, iż Teams jest wykorzystywany do szerokiego wachlarza działań przestępczych – od zbierania informacji o organizacjach, przez podszywanie się pod zaufane osoby i dostarczanie złośliwego oprogramowania, aż po kradzież danych i utrzymywanie dostępu do środowisk organizacji. Środowiska Teams są atrakcyjne, ponieważ pozwalają na działania na wielu etapach łańcucha ataku.
Jak wygląda atak – od wywiadu po eskalację
Atakujący często rozpoczynają od fazy rozpoznania, korzystając z Teams do identyfikacji użytkowników słabo zabezpieczonych, grup, zasobów i ustawień tenantów, zwłaszcza tych z dostępem zewnętrznym lub gościnnym. Niewłączenie trybu prywatności (Privacy Mode) pozwala obserwować status i dostępność użytkowników, co może być wykorzystane do dalszych oszustw społecznościowych. Używane są generowane lub uchwycone konta oraz domeny, które wyglądają wiarygodnie, z brandowaniem i stylami komunikacji typowymi dla zespołów wewnętrznych, takich jak IT lub help desk. Dzięki temu wiadomości od atakujących wyglądają bardziej autentycznie.
W kolejnych etapach ataku Teams służy do bezpośredniego dostarczania malware’u, phishingu, podszywania się przez rozmowy głosowe lub wideo, a także użycia narzędzi zdalnego wsparcia, takich jak AnyDesk, lub narzędzi administracyjnych typu AADInternals. W niektórych przypadkach atakujący wykorzystują Teams do dystrybucji złośliwych linków lub załączników, a także do poleceń typu „przekaż mi dostęp zdalny” czy „zweryfikuj kod” – typowych socjotechnicznych manipulacji.
Skutki i zagrożenia – dlaczego należy reagować
Jeśli haker uzyska dostęp do konta użytkownika lub zyska możliwość działania za pośrednictwem Teams, szkody mogą być poważne. Po pierwsze możliwe jest przechwycenie tokenów autoryzacyjnych i obejście uwierzytelniania wieloskładnikowego, co pozwala na dalsze eskalowanie uprawnień. Po drugie Teams może być używany do lateralnego poruszania się wewnątrz organizacji – dostęp do OneDrive i SharePoint, przesyłanie poufnych plików, podsłuchiwanie konwersacji, wykorzystanie ustawień aplikacji Teams i możliwości współpracy z aplikacjami zewnętrznymi.
W pewnych przypadkach atakujący korzystają z techniki „e-mail bombing”, by wywołać chaos i narazić użytkowników na presję działania na skróty – co zwiększa prawdopodobieństwo, iż ktoś kliknie link lub otworzy plik z komunikatu Teams bez odpowiedniej weryfikacji.
Rekomendacje producenta
Microsoft zaleca, by administratorzy podejmowali działania kompleksowe – na poziomie tożsamości, urządzeń końcowych, aplikacji i danych oraz sieci. Priorytetem jest wzmocnienie polityk uwierzytelniania, w tym zapewnienie, iż wszystkie konta użytkowników mają włączone MFA, a role administracyjne są przydzielane tylko tam, gdzie jest to absolutnie niezbędne.
Dobrze skonfigurowane zabezpieczenia punktów końcowych (endpoint security), weryfikacja urządzeń, aktualizacje systemu i systemów operacyjnych oraz blokowanie lub ograniczanie użycia narzędzi zdalnego dostępu czy zdalnej pomocy – takich jak Quick Assist czy AnyDesk, gdy nie są wymagane funkcjonalnie – mogą zmniejszyć powierzchnię ataku.
W środowisku Teams istotne są także ustawienia zewnętrzne: kontrola użytkowników gościnnych, ograniczenie dostępu zewnętrznego, ustalenie, które domeny mogą inicjować komunikację, a także użycie funkcji prywatności i transparentności – oznaczanie wiadomości przychodzących od użytkowników spoza organizacji.
Na koniec
Microsoft Teams coraz częściej bywa wykorzystywany nie tylko jako narzędzie współpracy, ale także jako infrastruktura ataku. Firmy przeważnie widzą w platformie bezpieczne środowisko wewnętrzne, co może okazać się zgubne – to, iż komunikacja odbywa się wewnątrz Teams, nie oznacza braku zagrożenia. W miarę jak użytkownicy i atakujący nabierają doświadczenia, metody oszustw stają się coraz bardziej subtelne – podszywania głosowe, przekierowania przez fałszywe domeny, proszenie o uwierzytelnianie czy aprobaty via czaty.
Obrona wymaga proaktywnego ustawienia – od konfiguracji domyślnych, przez szkolenia użytkowników, po regularny audyt polityk i stosowanych ról. Teams nie może być traktowany jako po prostu „kolejne narzędzie do spotkań i wiadomości” – to potencjalny wektor ataku, który już teraz jest wykorzystywany przez zaawansowane grupy.
