Исследователь безопасности Рис Даунинг из организации Ontinue обнаружил критическую проблему в архитектуре безопасности Microsoft Teams, создающую «слепое пятно» при межтенантном взаимодействии. Уязвимость позволяет злоумышленникам обходить защитные механизмы Microsoft Defender for Office 365, когда пользователи присоединяются к внешним тенантам (арендаторам) в качестве гостей. Этот фундаментальный архитектурный пробел лишает домашнюю организацию видимости и контроля над безопасностью своих сотрудников в момент их нахождения в чужой цифровой среде.
Суть проблемы заключается в том, что политики безопасности привязываются к хостингу, а не к пользователю. Как отмечает Рис Даунинг: «Когда пользователи действуют в качестве гостей в другом тенанте, их защита полностью определяется этой принимающей средой». Если принимающая сторона не имеет настроенных мер безопасности, гость оказывается беззащитным, несмотря на уровень защиты в его родной организации.
Ситуация усугубляется внедрением новой функции Microsoft Teams, которая позволяет пользователям общаться в чате с любым человеком через электронную почту, даже если у получателя нет учетной записи Teams. Данное нововведение, развертывание которого началось в этом месяце и должно стать глобально доступным к январю 2026 года, активировано по умолчанию. Если у получателя уже есть Teams, он получает запрос на внешнее сообщение, в противном случае — приглашение присоединиться в качестве гостя.
Администраторы могут попытаться ограничить этот риск, изменив параметр
Важно различать «гостевой доступ» и «внешний доступ», так как это определяет периметр безопасности. При внешнем доступе пользователи могут находить, звонить и переписываться с посторонними, оставаясь под защитой своей организации. В случае же с гостевым доступом пользователь фактически покидает безопасный периметр своей компании и входит в границы безопасности другого тенанта, подчиняясь его правилам и рискам.
Сценарий атаки начинается с создания злоумышленником вредоносного тенанта Microsoft 365 с использованием недорогих лицензий, таких как Teams Essentials или Business Basic. Эти тарифные планы по умолчанию не включают Microsoft Defender for Office 365. Хакер намеренно отключает все возможные средства защиты, создавая «зону, свободную от защиты», подготовленную для приема жертв.
На следующем этапе злоумышленник вводит адрес электронной почты жертвы в Teams. Платформа автоматически генерирует и отправляет приглашение по электронной почте, используя собственную легитимную инфраструктуру Microsoft. Поскольку письмо исходит от доверенного источника, оно успешно проходит проверки аутентификации SPF, DKIM и DMARC. Решения безопасности электронной почты не помечают такое приглашение как вредоносное, что позволяет ему беспрепятственно попасть во входящие сообщения жертвы.
После того как жертва принимает приглашение и входит в тенант злоумышленника, вся дальнейшая коммуникация происходит вне контроля домашней организации. В этой среде отсутствуют сканирования на наличие угроз через функции Safe Links (безопасные ссылки) или Safe Attachments (безопасные вложения). Злоумышленник может отправлять фишинговые ссылки или файлы с вредоносным ПО, а служба безопасности компании жертвы не получит никаких уведомлений об инциденте.
Для нейтрализации этой угрозы организациям рекомендуется ужесточить настройки совместной работы B2B, разрешив приглашения гостей только из доверенных доменов. Также необходимо внедрить строгий контроль доступа между тенантами и рассмотреть возможность ограничения внешней коммуникации в Teams, если она не является критически важной для бизнеса. Дополнительно следует провести обучение пользователей, предупредив их об опасностях принятия незапрошенных приглашений в Teams от внешних источников.
Изображение носит иллюстративный характер
Суть проблемы заключается в том, что политики безопасности привязываются к хостингу, а не к пользователю. Как отмечает Рис Даунинг: «Когда пользователи действуют в качестве гостей в другом тенанте, их защита полностью определяется этой принимающей средой». Если принимающая сторона не имеет настроенных мер безопасности, гость оказывается беззащитным, несмотря на уровень защиты в его родной организации.
Ситуация усугубляется внедрением новой функции Microsoft Teams, которая позволяет пользователям общаться в чате с любым человеком через электронную почту, даже если у получателя нет учетной записи Teams. Данное нововведение, развертывание которого началось в этом месяце и должно стать глобально доступным к январю 2026 года, активировано по умолчанию. Если у получателя уже есть Teams, он получает запрос на внешнее сообщение, в противном случае — приглашение присоединиться в качестве гостя.
Администраторы могут попытаться ограничить этот риск, изменив параметр
UseB2BInvitesToAddExternalUsers в политике TeamsMessagingPolicy на значение «false». Однако это действие накладывает ограничения только на отправку приглашений сотрудниками организации. Данная настройка технически не запрещает пользователям получать приглашения от внешних тенантов и принимать их, что оставляет вектор атаки открытым. Важно различать «гостевой доступ» и «внешний доступ», так как это определяет периметр безопасности. При внешнем доступе пользователи могут находить, звонить и переписываться с посторонними, оставаясь под защитой своей организации. В случае же с гостевым доступом пользователь фактически покидает безопасный периметр своей компании и входит в границы безопасности другого тенанта, подчиняясь его правилам и рискам.
Сценарий атаки начинается с создания злоумышленником вредоносного тенанта Microsoft 365 с использованием недорогих лицензий, таких как Teams Essentials или Business Basic. Эти тарифные планы по умолчанию не включают Microsoft Defender for Office 365. Хакер намеренно отключает все возможные средства защиты, создавая «зону, свободную от защиты», подготовленную для приема жертв.
На следующем этапе злоумышленник вводит адрес электронной почты жертвы в Teams. Платформа автоматически генерирует и отправляет приглашение по электронной почте, используя собственную легитимную инфраструктуру Microsoft. Поскольку письмо исходит от доверенного источника, оно успешно проходит проверки аутентификации SPF, DKIM и DMARC. Решения безопасности электронной почты не помечают такое приглашение как вредоносное, что позволяет ему беспрепятственно попасть во входящие сообщения жертвы.
После того как жертва принимает приглашение и входит в тенант злоумышленника, вся дальнейшая коммуникация происходит вне контроля домашней организации. В этой среде отсутствуют сканирования на наличие угроз через функции Safe Links (безопасные ссылки) или Safe Attachments (безопасные вложения). Злоумышленник может отправлять фишинговые ссылки или файлы с вредоносным ПО, а служба безопасности компании жертвы не получит никаких уведомлений об инциденте.
Для нейтрализации этой угрозы организациям рекомендуется ужесточить настройки совместной работы B2B, разрешив приглашения гостей только из доверенных доменов. Также необходимо внедрить строгий контроль доступа между тенантами и рассмотреть возможность ограничения внешней коммуникации в Teams, если она не является критически важной для бизнеса. Дополнительно следует провести обучение пользователей, предупредив их об опасностях принятия незапрошенных приглашений в Teams от внешних источников.
