Security

Teams-vishingangreb via Quick Assist: Microsoft advarer

3 min læsning

Resumé

Microsoft advarer om et vishingangreb via Teams, hvor en angriber udgav sig for at være IT-support og fik en medarbejder til at give fjernadgang gennem Quick Assist. Sagen er vigtig, fordi den viser, hvordan legitime samarbejds- og administrationsværktøjer kan misbruges til at stjæle legitimationsoplysninger, installere malware og etablere skjult adgang uden at udnytte en klassisk sårbarhed.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsofts seneste rapport i Cyberattack Series er en rettidig advarsel til sikkerhedsteams: Angribere behøver ikke altid en upatchet sårbarhed for at få adgang. I dette tilfælde brugte en trusselsaktør voice phishing via Microsoft Teams, udgav sig for at være IT-support og overbeviste en medarbejder om at tillade fjernadgang gennem Quick Assist — hvilket gjorde almindelige samarbejds- og supportarbejdsgange til et indgangspunkt.

Hvad skete der

Ifølge Microsoft Incident Response (DART) begyndte angrebet med vedvarende vishing via Microsoft Teams. Efter to mislykkede forsøg overtalte angriberen en tredje medarbejder til at godkende en Quick Assist-session.

Da forbindelsen først var oprettet, handlede trusselsaktøren hurtigt:

  • Instruerede brugeren i at gå til et ondsindet website kontrolleret af angriberen
  • Opfangede virksomhedslegitimationsoplysninger gennem en forfalsket sign-in-formular
  • Downloadede flere ondsindede payloads til enheden
  • Brugte en forklædt MSI-pakke til at sideloade en ondsindet DLL
  • Etablerede command-and-control ved hjælp af betroede Windows-mekanismer
  • Udvidede adgangen med krypterede loaders, ekstern kommandoeksekvering, høst af legitimationsoplysninger og session hijacking

Microsoft bemærkede, at angriberen i høj grad benyttede legitime administrative værktøjer og teknikker, der er designet til at falde ind i normal virksomhedsaktivitet.

Hvorfor dette er vigtigt for IT- og sikkerhedsteams

Denne hændelse afspejler et voksende identity-first-angrebsmønster, hvor tillid er det primære mål. Samarbejdsplatforme som Teams kan misbruges til at skabe hastværk og legitimitet, især når brugere tror, at de interagerer med internt supportpersonale.

For administratorer er den vigtigste pointe, at indbyggede værktøjer som Quick Assist og almindelige værktøjer til remote management kan blive højrisiko, når styringen er svag. Traditionelle forsvar, der primært fokuserer på malware-signaturer eller exploit-detektion, kan overse social engineering i de tidlige faser og hands-on-keyboard-aktivitet.

Microsofts respons

DART bekræftede, at kompromitteringen stammede fra en vellykket Teams-vishinginteraktion, og handlede for at inddæmme truslen, før den kunne brede sig yderligere. Microsoft oplyser, at:

  • Aktiviteten var kortvarig og begrænset i omfang
  • Responders fokuserede på at beskytte privilegerede aktiver og begrænse lateral movement
  • Forensisk analyse fandt ingen tilbageværende persistensmekanismer
  • Angriberens bredere mål blev ikke opnået

Anbefalede næste skridt

Organisationer bør straks gennemgå både samarbejds- og fjernadgangskontroller:

  • Begræns indgående Teams-kommunikation fra ikke-administrerede eksterne konti
  • Overvej allowlisting af betroede eksterne domæner til Teams-kontakt
  • Kortlæg værktøjer til remote monitoring og remote support, der er i brug
  • Fjern eller deaktiver Quick Assist, hvor det ikke er nødvendigt
  • Træn brugere i at verificere IT-supportanmodninger gennem godkendte interne kanaler
  • Overvåg mistænkelig brug af legitime admin-værktøjer og usædvanlige fjernsessioner

Konklusion

Denne rapport er en klar påmindelse om, at moderne kompromitteringer ofte begynder med overtalelse, ikke udnyttelse. Sikkerhedsteams bør styrke ekstern adgang i Teams, reducere unødvendige værktøjer til remote support og styrke brugerprocesser for verifikation for at gøre tillidsbaserede angreb sværere at udføre.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Incident Response
SecurityMicrosoft TeamsQuick Assistvishingincident response

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.