微软Teams平台存在漏洞，用户需采取行动

关键要点

• 微软Teams平台存在名为TeamsPhisher的漏洞，允许攻击者绕过安全控制并在目标系统上植入恶意软件。
• 微软尚未发布修复补丁，并建议Teams管理员审查工具设置以降低组织的风险。
• 漏洞允许外部组织的Teams账号发送恶意内容，直接传送至目标用户的收件箱。
• 建议不需要与外部组织保持常规沟通的用户禁用相应功能并调整安全设置。

微软Teams通信平台上发现了一个可被利用的漏洞，名为TeamsPhisher，此漏洞使得攻击者可以绕过安全控制，并在目标系统上植入恶意软件。尽管这一问题被研究人员在上个月指出，微软仍未计划对该漏洞进行修复。不过，微软在周三表示，建议Teams管理员检查工具的设置，因为默认配置使得组织面临恶意软件的风险。

Jumpsec的研究人员在上个月发现了这一漏洞，表明外部组织的Teams账户可以，将恶意负载直接发送到目标的收件箱。

7月3日，美国海军红队的技术负责人AlexReid在GitHub上发布了一个名为的Python工具，该工具基于Jumpsec的研究成果以及之前的Teams漏洞工作，旨在为授权的红队操作提供一个强大、可自定义且高效的利用MicrosoftTeams进行钓鱼攻击的方法。

Reid在GitHub上表示：“只需给TeamsPhisher提供附件、消息以及目标Teams用户的列表。它会将附件上传到发件人的SharePoint，然后遍历目标列表。”

该漏洞的利用基于一个众所周知的访问控制漏洞，称为不安全直接对象引用（IDOR），攻击者可以通过在POST请求中更改内部和外部接收者ID，向目标收件箱发送看似可下载的文件恶意负载。

配置问题引发混乱

这一漏洞的存在只在Teams允许用户与来自“外部组织”的用户沟通时才可行，而该工具在默认情况下就是设置为此配置的。

Jumpsec研究员MaxCorbridge在上个月撰文讨论此漏洞时表示，他看到其被利用为“威胁行为者传递payload的一个潜在收益途径”，因为它“绕过了几乎所有现代防钓鱼安全控制”。

Corbridge透露，Jumpsec已向微软报告这一漏洞，但被告知该问题“不符合立即修复的标准”。“我认为这是可惜的，但也在意料之中，”他写道。

微软应对漏洞

在周三关于该漏洞的询问中，微软发言人表示，公司“已注意到研究人员开发了旨在绕过MicrosoftTeams安全功能的工具，这些工具能够引入来自用户所在企业租户以外的内容”。

该公司没有表明会对漏洞进行修复。

“对于使用微软Teams且不需要与外部租户保持常规沟通的组织，建议禁用此功能，或根据需要通过MicrosoftTeams管理中心限制仅特定用户的外部访问，这是安全最佳实践，”发言人表示。

在上个月关于如何在红队演练中成功利用该漏洞的研究报告中，Corbridge也提供了相似的建议。

他说，组织应该首先审查其员工是否需要接收来自外部租户的Teams消息。如果不需要，则应确保该功能被禁用。

“如果您确实需要与外部租户进行沟通，但只有少数组织与您保持常规联系，则可以更改安全设置，仅允许与特定的白名单中的域进行沟通，”他说。

“这将是关闭该攻击路径的好折衷方案，而不会影响您的业务操作。”

他补充说，如果组织需要开放Teams通讯以接触外部方，员工必须了解所有生产力应用程序所涉及的安全风险。

“现在不仅仅是电子邮件被滥用，而且在我个人看来，使用其他渠道与电子邮件联系时似乎存在一种内在的信任，因为这与电子邮件及其钓鱼历史有着密切的关系。”