"הפגיעות המדוברת קשורה לתצורת ברירת המחדל של Microsoft Teams המאפשרת למשתמשים מחוץ לארגון לפנות לחברי צוות בתוך הארגון. ניצול הפגיעות הוא פשוט וכולל החלפת מזהה הנמען הפנימי והחיצוני בבקשת POST, טכניקה המכונה IDOR -Insecure Direct Object Reference", מסביר שטיינברג ומוסיף: "מצב זה עשוי להתרחש כאשר יישום אינטרנט או ממשק תכנות (API) משתמש במזהה עבור גישה ישירה לאובייקט במסד נתונים פנימי, אך אינו מבצע ומחפש בקרת גישה או אימות.
לאחר מכן, התוקף, שהוא גורם חיצוני, יכול לשלוח מטען זדוני שמופיע בתיבת הדואר הנכנס של Microsoft Teams של הנמען כקובץ להורדה. התוקפים יכולים להגדיל את ההסתברות להצלחה על ידי שימוש בטקטיקות של הנדסה חברתית, כגון התחזות לחברים ידועים בארגון היעד".
מהי הסבירות האמיתית לפריצה ומהן ההשלכות שלה?
"הסבירות שהתקפה מוצלחת תנצל פגיעות זו היא ניכרת, במיוחד אם התוקף משתמש בטקטיקות של הנדסה חברתית. הם יכולים, למשל, לרשום דומיין דומה לזה של ארגון היעד, לרשום אותו ב-M365 ולהשתמש בכתובת דוא"ל המחקה כתובת של חבר ידוע בארגון היעד. למרות שהודעות נכנסות ממשתמשים חיצוניים מתויגות בבאנר "חיצוני", אחוז ניכר מהעובדים עשויים להתעלם מאזהרה זו. ההשלכות של פריצה כזו עלולות להיות חמורות, שכן התוקף עלול לקבל גישה לנתונים רגישים של החברה או לשבש את הפעילות על ידי הפצת תוכנות זדוניות בתוך הארגון".
מהם הכלים להתמודדות עם אירוע כזה?
"שנם מספר אמצעים שארגונים יכולים לנקוט כדי להתגונן מפני סוג זה של התקפה. הם יכולים להסיר את האפשרות של גורמים חיצוניים ליצור קשר עם העובדים אם אין בכך צורך. הם יכולים גם לשנות את הגדרות האבטחה כדי לאפשר תקשורת עם תחומים מסוימים המותרים רק אם מספר הארגונים שאיתם עליהם לקיים תקשורת קטן. חשוב גם ללמד את הצוות על הפוטנציאל של אפליקציות פרודוקטיביות כגון Teams, Slack או SharePoint שישמשו תוקפים לביצוע התקפות הנדסה חברתית. עם זאת, איתור ניסיונות לנצל פגיעות זו עשוי להתברר כמאתגר מכיוון ש- Microsoft אינה מספקת בשלב זה יומני רישום המכסים אירועים שעלולים להיות זדוניים שמקורם בגורמים/דיירים חיצוניים.
כלי זיהוי כדוגמת EDR/XDR המותקנים בתחנות המשתמשים יכולים לסייע ולנטר פעילות קבצים שיורדת אל תחנת המשתמש ולבצע סריקה של הקובץ החשוד, כמו כן זיהוי התנהגות חריגה של פעילות הקובץ בתחנה ובכך למנוע את הנזק".
האם וכיצד האירוע הזה קשור לעבודה המודרנית?
"פגיעות זו והפוטנציאל לניצולה משקפים את המורכבות של העבודה המודרנית, שבה כלי שיתוף פעולה כגון Microsoft Teams הפכו לחלק בלתי נפרד מהאופן שבו עסקים פועלים. כלים אלה צריכים לעתים קרובות להיות פתוחים לארגונים חיצוניים כדי להקל על שיתוף פעולה ותקשורת. עם זאת, פתיחות זו יכולה גם ליצור נקודות תורפה ולהגביר את הסיכון למתקפות סייבר. לכן, בעוד שכלים כאלה משפרים את הפרודוקטיביות ואת שיתוף הפעולה, יש להשתמש בהם מתוך הבנה של הסיכונים הפוטנציאליים ולנקוט באמצעי האבטחה והבקרה הדרושים".
