นักวิจัยด้านความปลอดภัยจากบริษัท Ontinue ออกมาเตือนช่องโหว่การใช้งาน Microsoft Teams โดยเฉพาะฟีเจอร์ที่ให้ “คุยกับคนนอกองค์กร” ซึ่งถ้าพนักงานเผลอกดรับคำเชิญ อาจทำให้การป้องกันของ Microsoft Defender for Office 365 ฝั่งองค์กรเรา “ไม่ทำงานเต็มที่” ในห้องแชตนั้น ๆ
โดยปกติ Teams รองรับการคุยกับคนนอกผ่านการเชิญแบบ Guest และฟีเจอร์ “แชตกับใครก็ได้ผ่านอีเมล” ที่ส่งคำเชิญให้คนที่ไม่มี Teams เข้าร่วมได้ง่าย ๆ เมื่อผู้ใช้กดรับ แชตจะถูกสร้างอยู่ใน เทนเนนต์ของฝั่งที่เป็นโฮสต์ ทำให้ภาษาเทคนิคคือ นโยบาย Safe Links / Safe Attachments ที่เราตั้งในองค์กรจะไม่ถูกนำมาใช้กับลิงก์และไฟล์ในห้องนั้น แต่จะไปใช้นโยบายของฝั่งโฮสต์แทน
จุดเสี่ยงคือ ผู้โจมตีสามารถตั้งเทนเนนต์ราคาถูกที่แทบไม่มีการป้องกัน แล้วส่งคำเชิญ Teams ไปยังเหยื่อ อีเมลเชิญมาจากโครงสร้างพื้นฐานของ Microsoft จริง ๆ ผ่าน SPF/DKIM/DMARC ได้ง่าย จึงดูน่าเชื่อถือกว่าฟิชชิ่งทั่วไป พนักงานอาจเผลอคลิกลิงก์หรือเปิดไฟล์อันตราย โดยที่ฝ่ายไอทีคิดว่ามี Defender คอยสแกนแล้ว
แนวทางลดความเสี่ยงที่แนะนำ มีดังนี้
- จำกัดการทำงานแบบ B2B/External ให้รับเชิญได้เฉพาะ โดเมนภายนอกที่ไว้วางใจ เท่านั้น
- ใช้ cross-tenant access controls กำหนดว่าเทนเนนต์ไหนเข้ามาได้และได้สิทธิระดับใด
- ปิดหรือจำกัดฟีเจอร์ “แชตกับคนนอก/เชิญผ่านอีเมล” หากธุรกิจไม่ได้จำเป็นต้องใช้ โดยตั้งค่าในนโยบาย TeamsMessagingPolicy ให้
UseB2BInvitesToAddExternalUsers = false
ให้ความรู้ผู้ใช้ว่า คำเชิญ Teams จากภายนอกต้องตรวจสอบเสมอ ต่อให้มาจากระบบ Microsoft เองก็ตาม หากไม่แน่ใจให้สอบถามทีมไอทีก่อนกดรับเชิญหรือกดลิงก์
สำหรับองค์กรที่ใช้งาน Microsoft 365 และต้องการให้ผู้เชี่ยวชาญช่วยออกแบบนโยบายความปลอดภัย ปิดช่องโหว่ Teams และตั้งค่า Defender ให้เหมาะกับธุรกิจของคุณ สามารถดูรายละเอียดบริการได้ที่
👉 https://www.hostatom.com/microsoft-365/
ที่มา: The Hacker News
