Исследователи обнаружили легкий способ доставки вредоносного ПО в компании через Microsoft Teams

Простым путем доставить вредоносное ПО прямо в организацию исследователи из Red Team назвали сервис Microsoft Teams. Атака возможна, если сервис работает в конфигурации по умолчанию, которая позволяет коммуникации с аккаунтами, не входящими в компанию, которые обычно называют «внешними контактами».

Как объяснил исследователь Макс Коттбридж, данного способа уже достаточно для социальной инженерии и фишинговых атак. Однако метод позволяет отправить вложение с вредоносным файлом напрямую в почтовый ящик жертвы.

В сервисе предусмотрена защита, блокирующая доставку файлов из внешних источников. Однако ее удалось легко обойти, заменив в почте внутренний ID получателя на внешний ID. После этого система начала рассматривать  внешнего пользователя как внутреннего.

Исследователи проверили обнаруженную уязвимость в полях. И им действительно удалось доставить вложение в несколько организаций-участников эксперимента.

Кроме того, если атакующий зарегистрирует на  Microsoft 365 идентичный организации-жертве домен, его сообщения будут выглядеть для сервиса так, будто они пришли от кого-то внутри организации.

О результатах исследователи сообщили в Microsoft. Компания признала существование проблемы, однако сочла уязвимость недостаточно значимой для немедленного исправления.