Selon le rapport de Bleeping Computerles acteurs de la menace intensifient leurs efforts contre Microsoft Teams pour la distribution de logiciels malveillants en plaçant des documents malveillants dans les fils de discussion, ce qui conduit finalement les victimes à exécuter des chevaux de Troie qui détournent leurs systèmes d'entreprise.
Traditionnellement, les pirates ciblent les suites universelles de documents et de partage de Microsoft (Office et Office 365, basée sur le cloud), en attaquant des applications individuelles telles que Word, Excel et d'autres.
Aujourd'hui, grâce à son adoption massive depuis le COVID-19 (comme beaucoup d'autres applications SaaS), Microsoft Teams continue d'être une surface d'attaque extrêmement répandue. Comme les employés de nombreuses organisations continuent de travailler à distance, la dépendance à l'égard de Microsoft Teams pour collaborer est plus forte que jamais. Selon Statista, le nombre d'utilisateurs actifs quotidiens de Teams a presque doublé entre 2020 et 2021, et les rapports de Microsoft font état de 270 millions d' utilisateurs actifs mensuels en janvier 2022.
Les attaques réussies de spear-phishing et de compromission de la messagerie professionnelle étant amplifiées par des méthodes d'authentification de sécurité peu efficaces, les acteurs de la menace accèdent aux comptes Microsoft 365 des entreprises qui, à leur tour, leur permettent d'accéder aux applications, chats, fichiers et répertoires inter-organisationnels.
À partir de là, l'envoi de fichiers chargés de chevaux de Troie par l'intermédiaire de messages de chat Teams ne demande que très peu d'efforts et aboutit donc à l'exécution de l'utilisateur. Malheureusement, un désastre s'ensuit avec la prise de contrôle du système de l'utilisateur.
Pourquoi ces violations se produisent-elles ?
Les vecteurs d'attaques de type spear-phishing et BEC ne sont pas nouveaux (ce qui n'excuse pas les pratiques de sécurité laxistes), et les utilisateurs sont généralement prudents face aux données reçues par courrier électronique - grâce aux formations internes de sensibilisation à l'hameçonnage. Cependant, la plupart d'entre eux ont tendance à faire preuve de peu de prudence ou à douter des fichiers reçus sur une plateforme de chat privée et professionnelle, en particulier avec des pièces jointes apparemment innocentes nommées "User Centric" (centré sur l'utilisateur). À ce stade, "l'utilisateur est le maillon faible", comme le dit l'adage, et fournit donc à l'acteur de la menace le point d'appui dont il a besoin pour prendre le contrôle du système. Malheureusement, les protections natives limitées de MS Teams exacerbent ce type d'attaques.
Que peut-on faire ?
- La formation à la sensibilisation des utilisateurs est toujours essentielle lorsqu'il s'agit de faire face à des problèmes de phishing et de compromission de comptes d'entreprise.
- L'utilisation obligatoire de l'authentification multifactorielle est également essentielle pour prévenir le détournement de compte.
- Malheureusement, ces mesures peuvent ne pas suffire à protéger les utilisateurs contre des attaques très convaincantes.
- Il est vrai que Microsoft Teams n'est pas vraiment riche en fonctionnalités lorsqu'il s'agit de filtrer les messages et les fichiers à la recherche de contenus malveillants.
- C'est pourquoi il est fortement recommandé d'utiliser une plateforme de sécurité qui unifie la protection contre les logiciels malveillants, data loss prevention, l'analyse comportementale et le contrôle de la collaboration non seulement pour Teams, mais aussi pour tous les autres services Microsoft 365, tels que Sharepoint et OneDrive, qui peuvent généralement faciliter la compromission des comptes en premier lieu.