צוות מעבדות סייברארק (CyberArk) חשף הבוקר (שני) פרצת אבטחה קריטית ב-Microsoft Teams, פלטפורמה ארגונית נפוצה מאוד, המאפשרת שיתוף ועבודת צוות על בסיס שיחות וידאו ושיחות ועידה, צ'אטים, קבצים, וכלי שיתוף אחרים. כאמור, בעקבות משבר הקורונה והתרחבות העבודה מהבית, השימוש ב-Teams יותר מהכפיל את עצמו, ומגיע ל-44 מיליון משתמשים מדי יום ברחבי העולם, שעושים שימוש ב-Teams לשיחות ארגוניות ועסקיות. הפרצה לבסוף תוקנה.
החולשה שנחשפה על ידי החוקרים הישראלים, חושפת ארגונים המשתמשים ב-Microsoft Teams לגניבת נתונים נרחבת, לחשיפה וניצול של הרשאות משתמש, ואף למתקפות כופר וריגול ארגוני. היא מאפשרת, באמצעות שליחת קובץ תמונה שהתוקף שולח, לגנוב את כל הנתונים הקשורים לחשבון Teams של המשתמש, ודרכו להתפשט בקלות גם לחשבונות נוספים וקבוצות נוספות בארגון, להתחזות לכל משתמש שהתוקף יבחר ועוד.
בנוסף, באמצעות החולשה יכול התוקף לבצע כמעט את כל הפעולות כמו המשתמש: לשלוח בשם המשתמש המותקף זימונים לעובדים אחרים ולקבל גישה לכל הזימונים שלו ב-Calendar. הגישה למשתמשים אחרים מאפשרת לתוקף להתחזות לכל משתמש אחר בחברה ולשלוח בשמם הודעות. כמו כן, הוא יכול למשל לבקש מהמשתמשים להוריד תוכנה (זדונית) או עדכון, לבקש שיעשו איפוס סיסמא וכד' – כל אלה יאפשרו לו להרחיב את אחיזתו ברשת הארגונית גם מחוץ ל-Teams ולהגיע למידע רגיש אם ירצה.
אסף הכט ועומר צרפתי, חוקרים במעבדות סייברארק, ממליצים למשתמשים "לגלות ערנות כלפי תמונות GIF שנשלחות פתאום ב-Teams, להיזהר מבקשות מוזרות ומאנשים שהמשתמש טרם דיבר איתם בארגון". הם המליצו עוד "להימנע משיתוף מידע סודי או רגיש בפלטפורמה". השניים ציינו: "בימים של עבודה מרחוק, כשחברות מסתמכות על טכנולוגיות כמו Microsoft Teams, Zoom ואחרות כדי להישאר מחוברות לעובדים, לקוחות ושותפים, מועבר בפלטפורמות האלה יותר מידע מאי פעם, כך שחולשת האבטחה שנחשפה עלולה הייתה לסכן מידע רגיש, הרשאות ושיחות עסקיות".
כאמור, חברת סייברארק דיווחה למיקרוסופט על החולשה שמצאה, ולאחר שיתוף פעולה עם חוקרי סייברארק, מיקרוסופט שיחררה תיקון דחוף לחולשה לפני מספר ימים.
ממיקרוסופט נמסר כי "הסוגייה המתוארת בבלוג טופלה תוך שיתוף פעולה עם נציגי סייברארק תחת הליך מקובל במקרים אלה- Coordinated Vulnerability Disclosure. לא ראינו שימוש בטכניקה המתוארת בשטח, יחד עם זאת ננקטו צעדים מתאימים כדי לשמור ולהגן על לקוחותינו".