微软 Teams 漏洞：黑客如何绕过安全控制植入恶意软件

关键要点

最近的研究显示，微软 Teams存在一种漏洞，攻击者能够绕过安全控制，向特定系统植入恶意软件。这种攻击方式被研究人员发现，他们指出，随着传统感染路径（如邮箱和网站）的审核更加严密，像
Teams、Slack 和 Zoom 这样的通讯平台正变得越来越受欢迎，成为黑客的新目标。

根据，这一问题影响到使用 MicrosoftTeams 默认配置的组织。Jumpsec 的红队研究小组的研究员 Max Corbridge表示：“这是通过绕过客户端安全控制来实现的，这些控制措施能够防止外部用户向您组织的员工发送文件（本案例中的恶意软件）。”

该漏洞基于 Teams 的功能，允许两个使用 Teams 平台的公司相互沟通。尽管协作功能确实设有安全措施，防止一家企业向另一家企业通过 Teams发送恶意文件，但 Jumpsec 找到了一种绕过这些保护的方法，成功在接收者的系统中植入了恶意文件。

Corbridge 写道：“微软 Teams 允许任何拥有 Microsoft 账户的用户与外部租户进行联系……这些组织各自拥有自己的 Microsoft租户，一个租户的用户能够向另一个租户的用户发送消息。”

攻击者利用一种被称为不安全直接对象引用（IDOR）的常见漏洞，通过在 POST 请求中切换内部和外部接收者 ID，成功实施了攻击。POST请求用于向服务器发送数据以创建或更新资源。

当文件托管在 SharePoint 域时，攻击者仅需制定一个恶意 URL，通过 Teams发送给目标，从而在目标计算机上植入恶意软件。研究人员表示，“有效载荷作为文件直接送入目标的收件箱”，而不是一个链接。

接下来的攻击步骤将是使用社交工程手法，诱使接收者点击恶意有效载荷。

Corbridge指出：“[这种技术]避免了现在被严加警惕的点击邮件链接的行为，这已是员工们多年来被训练所要避免的，大大降低了普通员工识别出该行动为网络钓鱼攻击的可能性。”

鉴于微软 Teams 的普及，研究人员表示，这种技术应引起行业研究者的高度关注，估计在一月份的用户数据中，活动每日用户已超过 2.8 亿。

如今，许多公司对信息传递的安全控制相对宽松，允许外部商业合作伙伴与内部员工沟通。然而，研究人员指出，尽管这些外部用户无法向另一组织的员工发送文件，但这一不允许的客户端安全控制可以被绕过。

研究人员表示，利用这一漏洞的过程很简单：他们使用了传统的不安全直接对象引用（IDOR）技术，通过切换中的内部和外部接收者
ID，从而使攻击者能够发送恶意载荷，这样目标的收件箱中将出现一个可供下载的文件。

Inversion6 的首席信息安全官 Damir Brescic 表示，微软 Teams逐渐成为忙碌的专业人士的优良应用，特别是在拥有混合或大多数远程工作的组织中。他指出，鉴于新发现的漏洞，组织应确保他们的 Microsoft Teams处于最新状态。

Brescic表示：“总体而言，这一消息令人警醒，应当让组织意识到攻击者的聪明才智以及其自身存在的漏洞，如果尚未采取行动，他们需要加强安全措施。”他进一步指出，实施双因素认证以及采取措施孤立和保护最关键资产和商业流程（通过零信任原则）非常重要。

教师 Patrick Harr 表示，“我们已经看到在
[Teams，Slack](https://www.scworld.com/perspective/cloud-security/five