In Microsoft Teams können Angreifer potenziellen Opfern einfach Malware zukommen lassen. Herkömmlicher Phishing-Schutz hilft nicht dagegen.
IT-Sicherheitsforscher haben eine Schwachstelle in Teams entdeckt, die es Angreifern leicht macht, potenziellen Opfern Malware zu schicken. Der Angriff umgeht traditionellen Phishing-Schutz. Abhilfe ist derzeit nicht trivial zu schaffen.
Normalerweise müssten bösartige Akteure ihre Opfer oftmals zunächst mit Social Engineering und Phishing bearbeiten, um ihnen Schadcode unterzujubeln. Die Standardkonfiguration von Teams ermöglicht das Senden von Schadcode auch ohne solche Klimmzüge, schreiben IT-Forscher von Jumpsec in einer Sicherheitsmeldung.
Microsoft Teams: Unsichere Objektreferenzen als Einfallstor
Die Standardkonfiguration von Teams erlaubt Nutzerinnen und Nutzern außerhalb der eigenen Organisation, mit Mitarbeitenden im Unternehmen in Kontakt zu treten. Dies ermögliche einen neuen Social-Engineering-Ansatz. Zwar zeige Teams bei solchen Kontakten “Extern” an und liefere sogar noch eine Warnung, aber die würde erfahrungsgemäß von 95 Prozent ignoriert, erklärte Jumpsec.
In Teams können Nutzer Dateien versenden. Sie werden bei internen Kontakten im Chat direkt zum Anklicken und Ausführen angezeigt. Externe Kontakte können dies nicht, jedoch findet die Filterung clientseitig statt – und darin liege das Problem. Dass Objektreferenzen nicht vom Server gefiltert würden, ließ sich durch das Vertauschen der internen und externen Empfänger-ID in einer POST-Anfrage missbrauchen. Ein Screenshot demonstriert den einfachen Angriff.
Ein beispielhafter Chat-Verlauf, wie Angreifer in Teams potenziellen Opfern Schadcode unterschieben können. Die Dateien werden direkt angezeigt und nicht etwa als Link.
(Bild: Jumpsec)
Die Dateien werden den Opfern direkt angezeigt und nicht etwa als Link. Diese Art von Schwachstelle bezeichnen IT-Sicherheitsforscher als Insecure direct object references (IDOR), unsichere direkte Objektreferenzen. Dabei greift eine App direkt auf Objekte aus von Nutzern übergebenen Daten zu.
Cyberkriminelle könnten etwa mit Typosquatting-Domains, also solchen, die der eigenen Unternehmens-Domain stark ähneln, leicht Opfer finden und ihnen Schadcode unterschieben. Jumpsec gibt an, das in einem Pentest bei Kunden erfolgreich ausprobiert zu haben.
Microsoft habe die Lücke zwar bestätigt, sie sei aber nicht gravierend genug für sofortige Sicherheitsupdates. Die IT-Forscher schlagen daher vor, zu prüfen, ob der Kontakt von Externen zu eigenen Teams-Kontakten tatsächlich benötigt wird – das ist vermutlich sehr oft der Fall. Wo das aber nicht benötigt werde, ließe sich der Zugriff im Teams-Admin-Center unter “External Access” beschränken. Möglicherweise lässt sich auch der Zugriff auf bestimmte Partner-Domains eingrenzen, denen der Zugriff erlaubt wird. In allen Fällen bleibe die Überwachung der Teams-Log-Dateien auf Hinweise zu externen Zugriffen.
In Teams finden sich immer wieder Schwachstellen. Im vergangenen Herbst wurde bekannt, dass Teams Microsoft-Token im Klartext gespeichert hat. Angreifer konnten damit die Microsoft-Dienste der Nutzer abgreifen.