Các nhà nghiên cứu an ninh mạng đã tiết lộ một lỗ hổng điểm mù đa tenant cho phép kẻ tấn công bỏ qua các biện pháp bảo vệ của Microsoft Defender for Office 365 thông qua tính năng guest access trong Teams.
"Khi người dùng hoạt động với tư cách khách trong một tenant khác, các biện pháp bảo vệ của họ hoàn toàn được xác định bởi môi trường lưu trữ đó, chứ không phải bởi tổ chức chính của họ," nhà nghiên cứu an ninh Rhys Downing của Ontinue cho biết trong một báo cáo.
"Những tiến bộ này làm tăng cơ hội cộng tác, nhưng chúng cũng mở rộng trách nhiệm trong việc đảm bảo các môi trường bên ngoài đó đáng tin cậy và được bảo mật đúng cách."
Sự phát triển này diễn ra khi Microsoft đã bắt đầu triển khai một tính năng mới trong Teams cho phép người dùng trò chuyện với bất kỳ ai qua email, bao gồm cả những người không sử dụng nền tảng giao tiếp doanh nghiệp này, bắt đầu từ tháng này. Thay đổi này dự kiến sẽ có mặt trên toàn cầu vào tháng 1 năm 2026.
"Người nhận sẽ nhận được lời mời qua email để tham gia phiên trò chuyện với tư cách khách, cho phép giao tiếp và cộng tác liền mạch," Microsoft cho biết trong thông báo của mình. "Bản cập nhật này đơn giản hóa việc tương tác bên ngoài và hỗ trợ các kịch bản làm việc linh hoạt."
Trong trường hợp người nhận đã sử dụng Teams, họ sẽ được thông báo trực tiếp qua ứng dụng dưới dạng yêu cầu tin nhắn bên ngoài. Tính năng này được bật theo mặc định, nhưng các tổ chức có thể tắt nó bằng cách sử dụng TeamsMessagingPolicy bằng cách đặt tham số "UseB2BInvitesToAddExternalUsers" thành "false."
Tuy nhiên, cài đặt này chỉ ngăn người dùng gửi lời mời cho người dùng khác. Nó không ngăn họ nhận lời mời từ các tenant bên ngoài.
Ở giai đoạn này, điều đáng nói là guest access khác với external access, cho phép người dùng tìm, gọi và trò chuyện với những người có Teams nhưng nằm ngoài tổ chức của họ.
Cái gọi là "lỗ hổng kiến trúc cơ bản" được Ontinue nhấn mạnh xuất phát từ thực tế là các biện pháp bảo vệ của Microsoft Defender for Office 365 dành cho Teams có thể không áp dụng khi người dùng chấp nhận lời mời khách đến một tenant bên ngoài. Nói cách khác, bằng cách đi vào ranh giới bảo mật của tenant khác, người dùng phải tuân theo các chính sách bảo mật nơi cuộc trò chuyện được lưu trữ chứ không phải nơi tài khoản người dùng tồn tại.
Hơn nữa, nó mở ra một kịch bản trong đó người dùng có thể trở thành khách không được bảo vệ trong một môi trường độc hại được xác định bởi các chính sách bảo mật của kẻ tấn công.
Kịch bản tấn công tiềm năng
Trong một kịch bản tấn công giả định, một threat actor có thể tạo ra "vùng không bảo vệ" bằng cách tắt tất cả các biện pháp bảo vệ trong tenant của họ hoặc sử dụng các giấy phép thiếu một số tùy chọn theo mặc định. Ví dụ, kẻ tấn công có thể tạo một tenant Microsoft 365 độc hại bằng cách sử dụng giấy phép chi phí thấp như Teams Essentials hoặc Business Basic, những gói không đi kèm Microsoft Defender for Office 365 ngay từ đầu.
Sau khi tenant không được bảo vệ được thiết lập, kẻ tấn công có thể tiến hành reconnaissance về tổ chức mục tiêu để thu thập thêm thông tin và bắt đầu liên hệ qua Teams bằng cách nhập địa chỉ email của nạn nhân, khiến Teams gửi lời mời tự động để tham gia trò chuyện với tư cách khách.
Có lẽ khía cạnh đáng lo ngại nhất của chuỗi tấn công là email sẽ đến hộp thư của nạn nhân, vì tin nhắn bắt nguồn từ chính cơ sở hạ tầng của Microsoft, do đó hiệu quả vượt qua các kiểm tra SPF, DKIM và DMARC. Các giải pháp bảo mật email khó có thể gắn cờ email là độc hại, vì nó hợp lệ từ Microsoft.
Nếu nạn nhân chấp nhận lời mời, họ sẽ được cấp guest access trong tenant của kẻ tấn công, nơi tất cả các giao tiếp tiếp theo diễn ra. Threat actor có thể gửi các liên kết phishing hoặc phân phối các tệp đính kèm chứa mã độc bằng cách tận dụng việc thiếu các tính năng Safe Links và Safe Attachments.
"Tổ chức của nạn nhân hoàn toàn không hay biết," Downing cho biết. "Các biện pháp kiểm soát bảo mật của họ không bao giờ được kích hoạt vì cuộc tấn công xảy ra bên ngoài ranh giới bảo mật của họ."
Biện pháp phòng ngừa
Để bảo vệ chống lại kiểu tấn công này, các tổ chức được khuyến nghị hạn chế cài đặt cộng tác B2B để chỉ cho phép lời mời khách từ các domain đáng tin cậy, triển khai các biện pháp kiểm soát quyền truy cập đa tenant, hạn chế giao tiếp Teams bên ngoài nếu không cần thiết và đào tạo người dùng cảnh giác với các lời mời Teams không mong muốn từ các nguồn bên ngoài.
The Hacker News đã liên hệ với Microsoft để bình luận và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.
