微软 Teams 漏洞：黑客如何绕过安全控制植入恶意软件

关键要点

• 微软 Teams 存在漏洞，允许攻击者绕过安全控制，将恶意软件植入目标系统。
• 攻击向量的发现引发警告：随着传统感染路径的加强审查，通讯平台如 Teams、Slack 和 Zoom 成为更具吸引力的目标。
• 受影响的组织应确保其 Microsoft Teams 的最新配置并加强安全措施。

最近的研究显示，微软 Teams存在一种漏洞，攻击者能够绕过安全控制，向特定系统植入恶意软件。这种攻击方式被研究人员发现，他们指出，随着传统感染路径（如邮箱和网站）的审核更加严密，像 Teams、Slack 和 Zoom 这样的通讯平台正变得越来越受欢迎，成为黑客的新目标。

根据 ，这一问题影响到使用 MicrosoftTeams 默认配置的组织。Jumpsec 的红队研究小组的研究员 Max Corbridge表示：“这是通过绕过客户端安全控制来实现的，这些控制措施能够防止外部用户向您组织的员工发送文件（本案例中的恶意软件）。”

IDOR 漏洞

该漏洞基于 Teams 的功能，允许两个使用 Teams 平台的公司相互沟通。尽管协作功能确实设有安全措施，防止一家企业向另一家企业通过 Teams发送恶意文件，但 Jumpsec 找到了一种绕过这些保护的方法，成功在接收者的系统中植入了恶意文件。

Corbridge 写道：“微软 Teams 允许任何拥有 Microsoft 账户的用户与外部租户进行联系……这些组织各自拥有自己的 Microsoft租户，一个租户的用户能够向另一个租户的用户发送消息。”

攻击者利用一种被称为不安全直接对象引用（IDOR）的常见漏洞，通过在 POST 请求中切换内部和外部接收者 ID，成功实施了攻击。POST请求用于向服务器发送数据以创建或更新资源。

当文件托管在 SharePoint 域时，攻击者仅需制定一个恶意 URL，通过 Teams发送给目标，从而在目标计算机上植入恶意软件。研究人员表示，“有效载荷作为文件直接送入目标的收件箱”，而不是一个链接。

接下来的攻击步骤将是使用社交工程手法，诱使接收者点击恶意有效载荷。

Corbridge指出：“ 中的内部和外部接收者 ID，从而使攻击者能够发送恶意载荷，这样目标的收件箱中将出现一个可供下载的文件。

Inversion6 的首席信息安全官 Damir Brescic 表示，微软 Teams逐渐成为忙碌的专业人士的优良应用，特别是在拥有混合或大多数远程工作的组织中。他指出，鉴于新发现的漏洞，组织应确保他们的 Microsoft Teams处于最新状态。

Brescic表示：“总体而言，这一消息令人警醒，应当让组织意识到攻击者的聪明才智以及其自身存在的漏洞，如果尚未采取行动，他们需要加强安全措施。”他进一步指出，实施双因素认证以及采取措施孤立和保护最关键资产和商业流程（通过零信任原则）非常重要。

教师 Patrick Harr 表示，“我们已经看到在 [Teams，Slack](https://www.scworld.com/perspective/cloud-security/five