Přístup hostů v MS Teams může odstranit ochranu Defenderu

Výzkumníci v oblasti kybernetické bezpečnosti osvětlili slepé místo mezi tenanty, které útočníkům umožňuje obejít ochranu Microsoft Defender for Office 365 prostřednictvím funkce přístupu hostů v Teams.

„Když uživatelé fungují jako hosté v jiném tenantu, jejich ochrana je určena výhradně tímto hostitelským prostředím, nikoli jejich domovskou organizací,“ uvedl Rhys Downing, bezpečnostní výzkumník společnosti Ontinue, ve své zprávě.

„Tyto pokroky zvyšují příležitosti ke spolupráci, ale také rozšiřují odpovědnost za zajištění toho, že tato externí prostředí jsou důvěryhodná a řádně zabezpečená.“

Tento vývoj přichází v době, kdy Microsoft začal tento měsíc zavádět novou funkci v Teams, která uživatelům umožňuje chatovat s kýmkoli prostřednictvím e-mailu, včetně těch, kteří platformu pro podnikovou komunikaci nepoužívají. Očekává se, že změna bude globálně dostupná do ledna 2026.

„Příjemce obdrží e-mailovou pozvánku k připojení k chatové relaci jako host, což umožní bezproblémovou komunikaci a spolupráci,“ uvedl Microsoft ve svém oznámení. „Tato aktualizace zjednodušuje externí zapojení a podporuje flexibilní pracovní scénáře.“

V případě, že příjemce již Teams používá, je upozorněn přímo prostřednictvím aplikace ve formě žádosti o externí zprávu. Funkce je ve výchozím nastavení povolena, ale organizace ji mohou vypnout pomocí TeamsMessagingPolicy nastavením parametru „UseB2BInvitesToAddExternalUsers“ na „false“.

Je však třeba říci, že toto nastavení pouze brání uživatelům v odesílání pozvánek jiným uživatelům. Nezabraňuje jim v přijímání pozvánek z externích tenantů.

V této fázi stojí za zmínku, že přístup hostů se liší od externího přístupu, který uživatelům umožňuje vyhledávat, volat a chatovat s lidmi, kteří mají Teams, ale jsou mimo jejich organizace.

Zásadní architektonická mezera zdůrazněná společností Ontinue vyplývá ze skutečnosti, že ochrana Microsoft Defender for Office 365 pro Teams se nemusí uplatnit, když uživatel přijme pozvání hosta do externího tenantu. Jinými slovy, vstupem do bezpečnostní hranice druhého tenantu podléhá uživatel bezpečnostním zásadám tam, kde je konverzace hostována, a nikoli tam, kde se nachází účet uživatele.

Navíc to otevírá dveře scénáři, kdy se uživatel může stát nechráněným hostem ve škodlivém prostředí, které je diktováno bezpečnostními zásadami útočníka.

V hypotetickém scénáři útoku může aktér hrozby vytvořit „zóny bez ochrany“ deaktivací všech ochranných opatření ve svých tenantech nebo využitím licencí, které ve výchozím nastavení postrádají určité možnosti. Útočník může například vytvořit škodlivý tenant Microsoft 365 pomocí levné licence, jako je Teams Essentials nebo Business Basic, která není standardně dodávána s Microsoft Defender for Office 365.

Jakmile je nechráněný tenant nastaven, může útočník provést průzkum cílové organizace, shromáždit více informací a zahájit kontakt prostřednictvím Teams zadáním e-mailové adresy oběti, což způsobí, že Teams odešle automatickou pozvánku k připojení k chatu jako host.

Možná nejznepokojivějším aspektem útočného řetězce je, že e-mail dorazí do poštovní schránky oběti. Vzhledem k tomu, že zpráva pochází z vlastní infrastruktury Microsoftu, efektivně obchází kontroly SPF, DKIM a DMARC. V důsledku toho je nepravděpodobné, že by řešení e-mailové bezpečnosti označila e-mail jako škodlivý.

Pokud oběť nakonec pozvánku přijme, je jí udělen přístup hosta v tenantu útočníka, kde probíhá veškerá následná komunikace. Aktér hrozby může odesílat phishingové odkazy nebo distribuovat přílohy naložené malwarem využitím absence skenování Safe Links a Safe Attachments.

„Organizace oběti zůstává zcela nevědomá,“ řekl Downing. „Jejich bezpečnostní kontroly se nikdy nespustily, protože k útoku došlo mimo jejich bezpečnostní hranici.“

Pro ochranu před tímto typem útoku se organizacím doporučuje omezit nastavení spolupráce B2B tak, aby povolovalo pozvánky hostů pouze z důvěryhodných domén, implementovat kontroly přístupu mezi tenanty, omezit externí komunikaci Teams, pokud není vyžadována, a školit uživatele, aby dávali pozor na nevyžádané pozvánky Teams z externích zdrojů.

Zdroj: thehackernews.com

Microsoft, Teams
security

security

SSHStalker Botnet využívá IRC C2 k ovládání Linux systémů prostřednictvím exploitů starých jader

Výzkumníci v oblasti kybernetické bezpečnosti odhalili podrobnosti o nové botnetové operaci nazvané SSHStalker, která se spoléhá na komunikační protokol Internet Relay Chat (IRC) pro účely

ČÍST DÁLE »

Radek Vyškovský 13 února, 2026

security

Nizozemské úřady potvrdily, že zneužití zero-day zranitelnosti Ivanti odhalilo kontaktní údaje zaměstnanců

Nizozemský úřad pro ochranu osobních údajů (AP) a Rada pro soudnictví potvrdily, že systémy obou agentur (Rvdr) byly zasaženy kybernetickými útoky, které zneužily nedávno odhalené

ČÍST DÁLE »

Radek Vyškovský 12 února, 2026

security

Reynolds ransomware integruje BYOVD ovladač pro deaktivaci bezpečnostních nástrojů EDR

Výzkumníci v oblasti kybernetické bezpečnosti odhalili podrobnosti o nově se objevující rodině ransomwaru s názvem Reynolds, která přichází s vestavěnou komponentou typu „bring your own

ČÍST DÁLE »

Radek Vyškovský 11 února, 2026