Cross-Tenant Teams Identitätsdiebstahl-Angriff

Einführung

Microsoft hat neue Threat Research veröffentlicht, die beschreibt, wie Angreifer externe Microsoft Teams-Chats missbrauchen, um sich als IT- oder Helpdesk-Mitarbeitende auszugeben. Für IT- und Sicherheitsteams ist das eine wichtige Erinnerung daran, dass moderne Phishing- und Social-Engineering-Angriffe nicht mehr nur mit E-Mails beginnen – sie können innerhalb vertrauenswürdiger Kollaborationstools starten und schnell zu einer unternehmensweiten Kompromittierung eskalieren.

Was ist neu

Der Bericht von Microsoft beschreibt ein vollständiges human-operated intrusion playbook, das mit cross-tenant Teams-Nachrichten beginnt und mit data exfiltration endet.

Von Microsoft hervorgehobene Angriffskette

• Erstkontakt über Teams: Angreifer geben sich über externe Teams-Kommunikation als Support-Personal aus.
• Einstieg über Remoteunterstützung: Opfer werden dazu gebracht, Quick Assist oder ähnliche Remote-Support-Tools zu starten und den Zugriff zu genehmigen.
• Aufklärung und Validierung: Angreifer prüfen schnell Benutzerrechte, Systemdetails und Zugriffslevel.
• Missbrauch vertrauenswürdiger Apps: Vom Hersteller signierte Anwendungen werden mit von Angreifern bereitgestellten Modulen gestartet, um schädlichen Code auszuführen.
• Command and control: Angreifer etablieren persistenten Zugriff und fügen sich dabei in normale Admin-Aktivitäten ein.
• Laterale Bewegung: Native Tools wie WinRM werden genutzt, um sich zu hochwertigen Assets weiterzubewegen, darunter Domain Controller.
• Nachgelagerte Tools: Kommerzielle Remote-Management-Software wie Level RMM kann bereitgestellt werden.
• Datenexfiltration: Utilities wie Rclone werden genutzt, um sensible Daten zwischenzuspeichern und in externe Cloudspeicher zu übertragen.

Warum das für Administratoren wichtig ist

Diese Kampagne ist bemerkenswert, weil sie sich stark auf legitime Microsoft- und Drittanbieter-Tools stützt statt auf offensichtliche Malware. Das erschwert die Erkennung und erhöht die Wahrscheinlichkeit, dass die Aktivitäten wie routinemäßiger IT-Support, Remoteverwaltung oder vom Benutzer genehmigte Aktionen aussehen.

Das größte Risiko ist nicht nur die externe Teams-Nachrichtenfunktion selbst, sondern der Moment, in dem ein Nutzer Remote-Steuerung genehmigt. Sobald das geschieht, können Angreifer schnell handeln – oft innerhalb weniger Minuten –, um umfassenderen Zugriff zu etablieren, Tools bereitzustellen und Identitäts- oder Domain-Infrastruktur ins Visier zu nehmen.

Empfohlene Maßnahmen

Administratoren sollten Kontrollen über Zusammenarbeit, Endpoint- und Identitätssicherheit hinweg überprüfen:

• Externen Teams-Zugriff absichern und Richtlinien für cross-tenant Kommunikation überprüfen.
• Nutzer schulen, unerwartete Helpdesk- oder Sicherheitskontakte in Teams mit Misstrauen zu behandeln, besonders bei Erstkontakten.
• Quick Assist einschränken oder überwachen sowie nach Möglichkeit auch andere Remote-Support-Tools.
• Auf verdächtige Prozessketten achten wie QuickAssist.exe gefolgt von cmd.exe oder PowerShell.
• Laterale Bewegungsaktivitäten überwachen, insbesondere mit WinRM und unerwarteter Remote-Management-Software.
• Signale für Datenexfiltration prüfen, die mit Tools wie Rclone oder ungewöhnlichen Cloudspeicher-Zielen zusammenhängen.
• Microsoft Defender XDR verwenden, um Identitäts-, Endpoint- und Teams-Telemetrie für eine frühere Erkennung zu korrelieren.

Fazit

Die Forschung von Microsoft zeigt, dass Kollaborationsplattformen inzwischen Teil der aktiven Angriffslandschaft sind. Sicherheitsteams sollten Teams-basierte Identitätsvortäuschung und vom Benutzer genehmigte Remoteunterstützung als Hochrisiko-Pfade behandeln und Monitoring, Benutzeraufklärung und Response-Playbooks entsprechend aktualisieren.