إميل أبو صالح، المدير الإقليمي لدى شركة بروف بوينت في الشرق الأوسط وأفريقيا
يعد Microsoft شريكاً رئيسياً للعديد من المؤسسات والشركات. تثق هذه المؤسسات على نطاق واسع في مجموعة منتجات Microsoft Office كأساس موثوق لاحتياجات النظام البيئي السحابي اليومية. ومع ذلك ، فإن التحول إلى السحابة الإلكترونية تفرض أنواع جديدة من التهديدات.
يركز قراصنة الإنترنت على البيئات والخدمات السحابية ويحاولون الاستفادة من الثغرات الأمنية الحالية ونقاط الضعف لأغراض شائنة مختلفة.
في هذا المجال؛ نشرت بروف بوينت ورقة تحليلية تتضمنت أكثر من 450 مليون جلسة خبيثة، تم اكتشافها خلال النصف الثاني من العام 2022، واستهدفت مستخدمي السحابة من Microsoft 365 . وفقاً للنتائج التي توصلنا إليها؛ يعد Microsoft Teams واحدًا من أكثر عشرة تطبيقات التسجيل المستهدفة من قبل القراصنة دخول استهدافًا ، حوالي 40٪ من المؤسسات المستهدفة التي تعرضت لمحاولة تسجيل دخول غير مصرح بها؛ تحاول الوصول إليها.
وهنالك عدة طرق لإساءة استخدام أحد أكثر تطبيقات السحابة الأصلية شيوعًا (والأكثر استهدافًا): Microsoft Teams تسمح هذه الأساليب لقراصنة الإنترنت بتنفيذ التصيد الاحتيالي لبيانات اعتماد Office 365 بشكل فعال وتقديم ملفات تنفيذية ضارة وتوسيع موطئ قدمها في بيئة سحابية تم اختراقها.
إساءة استخدام آلية علامات التبويب الافتراضية
يوفر النظام الأساسي لـ Microsoft Teams آلية مراسلة شخصية وجماعية ، من خلال قنوات أو محادثتات عبر Teams يمكن أن تحتوي كل قناة أو دردشة على علامات تبويب إضافية تم إنشاؤها بواسطة تطبيقات مختلفة. من الأمثلة على علامة التبويب الافتراضية التي تظهر في الدردشات الشخصية والجماعية علامة التبويب “الملفات” المقترنة بـ SharePoint و OneDrive . لقد وجدنا أن التلاعب بعلامات التبويب يمكن أن يكون جزءًا من ناقل هجوم قوي وآلي إلى حد كبير بعد اختراق الحساب.
ومع ذلك ، اكتشف بروف بوينت أنه باستخدام استدعاءات Teams API غير الموثقة ، يمكن إعادة ترتيب علامات التبويب وإعادة تسميتها بحيث يمكن تبديل علامة التبويب الأصلية بعلامة تبويب مخصصة جديدة.
هناك طريقة أخرى لإساءة استخدام نفس الآليات بسهولة وهي استخدام علامة التبويب موقع الويب للإشارة إلى ملف. يؤدي هذا إلى قيام Teams (سطح المكتب أو عميل الويب) بتنزيل الملف تلقائيًا إلى جهاز المستخدم، مما قد يؤدي إلى وضع برامج ضارة داخل أجهزة وشبكات الضحايا الخاصة بالشركات
تعزيز الأنظمة الأمنية لدعوات الاجتماع
يمكن أيضًا لنظام Microsoft Teams الأساسي المزامنة مع تقويم المستخدم لعرض الاجتماعات المجدولة وإنشاؤها وتعديلها. بشكل افتراضي، عند إنشاء اجتماع Teams عبر الإنترنت، يتم إنشاء العديد من الروابط وإرسالها ضمن وصف الاجتماع. يسمح ذلك للمستخدمين بالانضمام إلى الاجتماع عبر الإنترنت أو تنزيل عميل سطح المكتب الخاص بـ Teams
بمجرد حصول المهاجمين على حق الوصول إلى حساب Teams للمستخدم ، يمكنهم التعامل مع دعوات الاجتماعات باستخدام مكالمات Teams API ، ومبادلة الارتباطات الافتراضية الحميدة بالروابط الضارة.
قد يقوم المهاجم المتطور تلقائيًا بتغيير الروابط الافتراضية داخل دعوة الاجتماع بحيث تتم إحالة المستخدمين ، من خارج المنظمة وداخلها ، إلى صفحات التصيد أو إلى مواقع استضافة البرامج الضارة ، مما يتسبب في تنزيل فوري لبرامج ضارة تتظاهر بأنها ملفات تثبيت Teams.
التأثير المحتمل
من المهم ملاحظة أن طرق إساءة الاستخدام المذكورة أعلاه تتطلب وصولاً موجودًا مسبقًا إلى حساب مستخدم مخترق أو رمز Teams المميز. ومع ذلك ، عانى ما يقرب من 60٪ من مستخدمي Microsoft 365 على الأقل من حادثة استحواذ ناجحة واحدة على حساب في عام 2022. وبالتالي ، فإن الانتشار المحتمل لهذه الأساليب من شأنه أن يوفر للجهات الفاعلة في مجال التهديد إمكانيات فعالة للحركة الجانبية بعد التسوية.
توصيات لحماية مؤسستك
فيما يلي طرق لمساعدة المؤسسات في التصدي لمخاطر التصيد والبرامج الضارة المستندة إلى Microsoft Teams :
- الوعي الأمني: تثقيف المستخدمين ليكونوا على دراية بهذه المخاطر عند استخدام Microsoft Teams .
- أمان السحابة: حدد المهاجمين الذين يصلون إلى Teams داخل بيئة السحابة الخاصة بك. يتطلب هذا اكتشافًا دقيقًا وفي الوقت المناسب لاختراق الحساب الأولي وإمكانية رؤية تطبيق تسجيل الدخول المتأثر.
- أمان الويب: عزل الجلسات التي يُحتمل أن تكون ضارة والتي بدأت بواسطة الارتباطات المضمنة في رسائل Teams
- مراجعة استخدام Microsoft Teams إذا كنت تواجه محاولات استهداف على أساس منتظم ، ففكر في تقييد استخدام Microsoft Teams في بيئة السحابة الخاصة بك.
- تقييد الوصول: تأكد من أن خدمة Teams الخاصة بك داخلية فقط إذا كان ذلك ممكنًا وغير معرضة للتواصل مع المنظمات الأخرى.
