Microsoft Teams-Vishing mit Quick Assist: Warnung

Einführung

Der neueste Bericht der Cyberattack Series von Microsoft ist eine rechtzeitige Warnung für Sicherheitsteams: Angreifer benötigen nicht immer eine ungepatchte Schwachstelle, um Zugriff zu erlangen. In diesem Fall nutzte ein Threat Actor Voice-Phishing über Microsoft Teams, gab sich als IT-Support aus und überzeugte einen Mitarbeiter, über Quick Assist Fernzugriff zu gewähren – wodurch routinemäßige Kollaborations- und Support-Workflows zu einem Einstiegspunkt wurden.

Was ist passiert

Laut Microsoft Incident Response (DART) begann der Angriff mit beharrlichem Vishing über Microsoft Teams. Nach zwei erfolglosen Versuchen überzeugte der Angreifer einen dritten Mitarbeiter, eine Quick Assist-Sitzung zu genehmigen.

Nach der Verbindung handelte der Threat Actor schnell:

• Er leitete den Benutzer auf eine bösartige, vom Angreifer kontrollierte Website um
• Er erfasste Unternehmensanmeldedaten über ein gefälschtes Sign-in-Formular
• Er lud mehrere schädliche Payloads auf das Gerät herunter
• Er verwendete ein getarntes MSI-Paket, um eine schädliche DLL per Sideloading zu laden
• Er etablierte Command-and-Control unter Nutzung vertrauenswürdiger Windows-Mechanismen
• Er weitete den Zugriff mit verschlüsselten Loadern, Remote-Befehlsausführung, Credential Harvesting und Session Hijacking aus

Microsoft stellte fest, dass sich der Angreifer stark auf legitime administrative Tools und Techniken stützte, die darauf ausgelegt waren, sich in normale Unternehmensaktivitäten einzufügen.

Warum dies für IT- und Sicherheitsteams wichtig ist

Dieser Vorfall spiegelt ein wachsendes Identity-First-Angriffsmuster wider, bei dem Vertrauen das primäre Ziel ist. Kollaborationsplattformen wie Teams können missbraucht werden, um Dringlichkeit und Legitimität zu erzeugen, insbesondere wenn Benutzer glauben, mit internem Support-Personal zu interagieren.

Für Administratoren lautet die wichtigste Erkenntnis, dass integrierte Tools wie Quick Assist und gängige Remote-Management-Dienstprogramme zu einem hohen Risiko werden können, wenn die Governance schwach ist. Traditionelle Abwehrmaßnahmen, die sich hauptsächlich auf Malware-Signaturen oder Exploit-Erkennung konzentrieren, übersehen möglicherweise Social Engineering in frühen Phasen und Hands-on-Keyboard-Aktivitäten.

Microsofts Reaktion

DART bestätigte, dass die Kompromittierung auf eine erfolgreiche Teams-Vishing-Interaktion zurückzuführen war, und ergriff Maßnahmen zur Eindämmung der Bedrohung, bevor sie sich weiter ausbreiten konnte. Microsoft berichtet, dass:

• Die Aktivität nur kurz andauerte und im Umfang begrenzt war
• Sich die Incident Responder auf den Schutz privilegierter Assets und die Begrenzung lateraler Bewegungen konzentrierten
• Die forensische Analyse ergab, dass keine Persistenzmechanismen zurückblieben
• Die weitergehenden Ziele des Angreifers nicht erreicht wurden

Empfohlene nächste Schritte

Organisationen sollten sowohl Kollaborations- als auch Fernzugriffskontrollen umgehend überprüfen:

• Eingehende Teams-Kommunikation von nicht verwalteten externen Konten einschränken
• In Betracht ziehen, vertrauenswürdige externe Domains für Teams-Kontakt per Allowlist zuzulassen
• Verwendete Remote-Monitoring- und Remote-Support-Tools inventarisieren
• Quick Assist entfernen oder deaktivieren, wo es nicht erforderlich ist
• Benutzer darin schulen, IT-Support-Anfragen über genehmigte interne Kanäle zu verifizieren
• Auf verdächtige Nutzung legitimer Admin-Tools und ungewöhnliche Remote-Sitzungen überwachen

Fazit

Dieser Bericht erinnert klar daran, dass moderne Intrusionen oft mit Überzeugung statt mit Exploitation beginnen. Sicherheitsteams sollten den externen Zugriff in Teams härten, unnötige Remote-Support-Tools reduzieren und Prozesse zur Benutzerverifizierung stärken, um vertrauensbasierte Angriffe schwerer ausführbar zu machen.