Sió-Informatika Rendszerház

HÍREK

A Microsoft Teams vendég-hozzáférése súlyos kereszt-tenant biztonsági rést tár fel – a támadók kikerülhetik a Defender védelmét

Microsoft Teams vendég hozzáférés biztonsági rés

Egy friss biztonsági elemzés rávilágított egy kevéssé ismert, de súlyos következményekkel járó architekturális hibára a Microsoft Teams vendég-hozzáférési modelljében.

A hiba lehetővé teszi, hogy támadók megkerüljék a Microsoft Defender for Office 365 védelmi rétegeit, és olyan környezetbe tereljék a felhasználókat, ahol semmilyen biztonsági szabály nem védi őket.

A jelenséget az Ontinue biztonsági kutatói dokumentálták, akik szerint a probléma alapja, hogy amikor egy felhasználó vendégként belép egy másik szervezet Teams-tenantjébe, átmenetileg a fogadó tenant biztonsági szabályai érvényesülnek – nem pedig a saját szervezetéé.

Ez a mechanizmus támadók számára kiváló lehetőséget ad phishing, malware terjesztés és valós idejű social engineering támadások végrehajtására.

„A szervezetek közötti együttműködés könnyebb, mint valaha. De sokan tévesen feltételezik, hogy a másik fél ugyanazon a biztonsági szinten működik.”
– Rhys Downing, Ontinue

Miért nőtt meg hirtelen a kockázat?

A Microsoft jelentősen bővítette a Teams külső kommunikációs funkcióit: hamarosan e-mail cím alapján bárki meghívható lesz egy chatszobába, még akkor is, ha nem használ Teams-et. A fogadó fél egy kattintással vendégként csatlakozik.

Ez felgyorsítja a munkát, ugyanakkor tökéletes környezetet teremt az identitás-alapú támadásokhoz. A Microsoft szerint a kibertámadások több mint 80%-a már valamilyen kompromittált identitáshoz vagy social engineeringhez kapcsolódik.

A vendég-hozzáférés alapja az Azure AD B2B modellje, amely lehetővé teszi a tenantok közötti identitásmegosztást. Ez ugyan kényelmes, de a védelem nem követi a felhasználót.

A „láthatatlan” biztonsági rés működése

A problémát nem hagyományos sebezhetőség okozza, hanem egy tervezési sajátosság:

  • A felhasználó vendégként bekerül a támadó által kontrollált tenantba.
  • Innentől a host tenant szabályai érvényesek.
  • A saját szervezete Defender for Office 365 kontrolljai — Safe Links, Safe Attachments, anti-phishing — nem működnek.
  • Ha a host tenant szándékosan rosszul konfigurált vagy teljesen védtelen, a felhasználó teljesen eszköztelen.

Az eredmény: egy jól védett vállalat alkalmazottja azonnal védelem nélkül marad, amint elfogad egy külső meghívást.

Hogyan használják ki a támadók?

Az Ontinue elemzése szerint a támadási lánc meglepően egyszerű:

  1. A támadó létrehoz egy saját Microsoft 365 tenantot – akár egy olcsó Teams Essentials vagy Business Basic csomaggal.
  2. A tenantban nincs Defender, semmilyen vizsgálat nem történik.
  3. A támadó e-mail címeket gyűjt a célvállalat alkalmazottairól.
  4. Küld egy Teams vendég meghívót.
  5. Ha a felhasználó rákattint, vendéggé válik a támadó környezetében.
  6. Innentől a támadó küldhet:
    • rosszindulatú linkeket Safe Links megkerülésével
    • fertőzött csatolmányokat
    • valós idejű social engineering üzeneteket
    • megbízhatónak tűnő üzeneteket „külső kolléga” fedősztorival

Mindez úgy történik, hogy a felhasználó saját szervezete nem lát semmit az aktivitásból.

Miért különösen veszélyes ez most?

Több trend találkozik:

  • A támadók egyre inkább a collaboration platformokat célozzák.
  • A felhasználók jobban megbíznak Teams üzenetekben, mint e-mailekben.
  • A supply chain együttműködések miatt a cross-tenant kommunikáció rohamosan növekszik.
  • A Microsoft által támogatott új funkciók az interakciókat még egyszerűbbé teszik.

2024–2025-ben több ismert csoport (Storm-0324, Midnight Blizzard, Scattered Spider) már kifejezetten Teams-es támadásokat használt.

Mit mond a Microsoft?

A Microsoft nem tekinti a problémát sebezhetőségnek, hanem a többtenantos felhőmodellek természetes sajátosságának.

A cég azt tanácsolja:

  • szigorú B2B hozzáférés-vezérlés
  • Cross-Tenant Access Policies alkalmazása
  • a külső Teams kommunikáció korlátozása

A gond az, hogy ezekről sok szervezet nem is tud, és az alapbeállítások meglehetősen engedékenyek.

Mit tehetnek a szervezetek MOST?

1. Külső tenantok szigorú szűrése
  • Allow-listák használata
  • Ismeretlen tenant meghívások tiltása
2. Cross-Tenant Access Policies
  • feltételes hozzáférés követelményként az összes külső tenant felé
  • MFA szabályok érvényesítése más tenantokra is
3. Külső Teams kommunikáció korlátozása
  • Csak valós üzleti partnerek számára hagyja nyitva a csatornát.
4. Felhasználói oktatás
  • A Teams meghívó ugyanolyan veszélyes lehet, mint egy gyanús e-mail.
5. Azure naplók monitorozása
  • A cross-tenant sign-in események gyakran rejtve maradnak.
6. Zero Trust hozzáállás
  • A külső tenantokat alapértelmezés szerint ellenséges környezetnek kell tekinteni.

Tágabb összefüggés

A kutatók figyelmeztetnek: a probléma nem csak a Teams-et érinti.
Más felhőeszközök — Slack shared channels, Google Workspace external chat, Zoom federáció — hasonló hibákat rejthetnek.

A modern kollaborációs ökoszisztéma olyan gyors tempóban fejlődik, hogy a biztonsági rétegek gyakran nem követik le.

„A biztonsági csapatok azt feltételezik, hogy a kontrolljaik mindenhová elkísérik a felhasználót. De sok cross-tenant helyzetben ez egyszerűen nem igaz.”
– Ontinue

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!