Nach einem Bericht von Bleeping Computerverstärken Bedrohungsakteure ihre Bemühungen, Microsoft Teams für die Verbreitung von Malware zu nutzen, indem sie bösartige Dokumente in Chat-Threads einschleusen, was letztlich dazu führt, dass die Opfer Trojaner ausführen, die ihre Unternehmenssysteme kapern.
Traditionell konzentrieren sich Hacker auf Microsofts universelle Dokumenten- und Freigabe-Suiten - Office und das Cloud-basierte Office 365 - mit Angriffen auf einzelne Anwendungen wie Word, Excel und andere.
Dank des enormen Anstiegs der Akzeptanz seit COVID-19 (ähnlich wie bei vielen anderen SaaS-Anwendungen) ist Microsoft Teams weiterhin eine äußerst häufige Angriffsfläche. Da die Mitarbeiter vieler Unternehmen weiterhin aus der Ferne arbeiten, ist das Vertrauen in Microsoft Teams für die Zusammenarbeit stärker als je zuvor. Nach den Markteinblicken von Statista hat sich die Zahl der täglich aktiven Nutzer von Teams von 2020 bis 2021 fast verdoppelt, und Microsoft spricht von 270 Millionen monatlich aktiven Nutzern im Januar 2022.
Durch erfolgreiche Spearphishing- und Business-E-Mail-Angriffe, die durch unzureichende Sicherheitsauthentifizierungsmethoden verstärkt werden, erhalten Bedrohungsakteure Zugang zu Microsoft 365-Unternehmenskonten, die ihnen wiederum Zugang zu unternehmensübergreifenden Anwendungen, Chats, Dateien und Verzeichnissen gewähren.
Von dort aus lassen sich mit Trojanern beladene Dateien mit geringem Aufwand über Teams-Chat-Nachrichten verschicken, so dass sie vom Benutzer ausgeführt werden können. Unglücklicherweise folgt dann die Katastrophe mit der Inbesitznahme des Systems des Benutzers.
Warum kommt es zu diesen Verstößen?
Spear-Phishing und BEC-Angriffe sind nichts Neues (was keine Entschuldigung für nachlässige Sicherheitspraktiken ist), und die Benutzer sind in der Regel vorsichtig bei Daten, die sie per E-Mail erhalten - dank interner Schulungen zum Thema E-Mail-Phishing. Die meisten neigen jedoch dazu, bei Dateien, die sie über eine private und unternehmensinterne Chat-Plattform erhalten, wenig Vorsicht oder Zweifel an den Tag zu legen; insbesondere bei scheinbar harmlosen Anhängen mit dem Namen "User Centric". An diesem Punkt ist "der Benutzer das schwächste Glied", wie das Sprichwort sagt, und verschafft so dem Bedrohungsakteur den Halt, den er braucht, um die Kontrolle über das System zu übernehmen. Leider wird diese Art von Angriffen durch die begrenzten nativen Schutzmechanismen von MS Teams noch verschlimmert.
Was kann getan werden?
- Schulungen zur Sensibilisierung der Benutzer sind immer wichtig, wenn es um Phishing und die Kompromittierung von Geschäftskonten geht.
- Die obligatorische Verwendung einer Multi-Faktor-Authentifizierung ist ebenfalls wichtig, um das Hijacking von Konten zu verhindern.
- Leider reichen diese Maßnahmen allein nicht aus, um Benutzer vor sehr überzeugenden Angriffen zu schützen.
- Zugegeben, Microsoft Teams selbst ist nicht gerade funktionsreich, wenn es darum geht, Nachrichten und Dateien auf bösartige Inhalte zu überprüfen.
- Aus diesem Grund ist es sehr empfehlenswert, eine Sicherheitsplattform zu verwenden, die Malware-Schutz, data loss prevention, Verhaltensanalysen und die Kontrolle der Zusammenarbeit nicht nur für Teams, sondern auch für alle anderen Microsoft 365-Dienste wie Sharepoint und OneDrive vereint, die in der Regel Kontokompromittierungen überhaupt erst ermöglichen.