Teams-vishing met Quick Assist: Microsoft waarschuwt

Inleiding

Het nieuwste rapport in Microsofts Cyberattack Series is een tijdige waarschuwing voor beveiligingsteams: aanvallers hebben niet altijd een niet-gepatchte kwetsbaarheid nodig om toegang te krijgen. In dit geval gebruikte een dreigingsactor voice phishing via Microsoft Teams, deed zich voor als IT-support en overtuigde een medewerker om externe toegang via Quick Assist toe te staan—waardoor routinematige samenwerkings- en supportworkflows veranderden in een toegangspunt.

Wat er gebeurde

Volgens Microsoft Incident Response (DART) begon de aanval met aanhoudende vishing via Microsoft Teams. Na twee mislukte pogingen wist de aanvaller een derde medewerker te overtuigen om een Quick Assist-sessie goed te keuren.

Zodra de verbinding tot stand was gebracht, handelde de dreigingsactor snel:

• Stuurde de gebruiker naar een kwaadaardige website die door de aanvaller werd beheerd
• Buitte bedrijfsreferenties via een nagemaakt aanmeldformulier
• Downloadde meerdere kwaadaardige payloads naar het apparaat
• Gebruikte een vermomd MSI-pakket om een kwaadaardige DLL te sideloaden
• Richtte command-and-control in met vertrouwde Windows-mechanismen
• Breidde de toegang uit met versleutelde loaders, externe opdrachtuitvoering, credential harvesting en sessiekaping

Microsoft merkte op dat de aanvaller sterk vertrouwde op legitieme administratieve tooling en technieken die bedoeld waren om op te gaan in normale bedrijfsactiviteit.

Waarom dit belangrijk is voor IT- en beveiligingsteams

Dit incident weerspiegelt een groeiend identity-first aanvalspatroon waarbij vertrouwen het primaire doelwit is. Samenwerkingsplatformen zoals Teams kunnen worden misbruikt om urgentie en legitimiteit te creëren, vooral wanneer gebruikers denken dat ze met interne supportmedewerkers communiceren.

Voor beheerders is de belangrijkste conclusie dat ingebouwde tools zoals Quick Assist en veelgebruikte hulpprogramma’s voor extern beheer een hoog risico kunnen vormen wanneer governance zwak is. Traditionele verdedigingsmaatregelen die vooral zijn gericht op malware-signaturen of exploitdetectie kunnen social engineering in een vroeg stadium en hands-on-keyboard-activiteit missen.

Microsofts reactie

DART bevestigde dat de compromittering voortkwam uit een succesvolle Teams-vishinginteractie en trad op om de dreiging in te dammen voordat deze zich verder kon uitbreiden. Microsoft meldt dat:

• De activiteit van korte duur was en beperkt van omvang
• Responders zich richtten op het beschermen van geprivilegieerde assets en het beperken van laterale beweging
• Forensische analyse geen achtergebleven persistentiemechanismen aantrof
• De bredere doelstellingen van de aanvaller niet werden bereikt

Aanbevolen vervolgstappen

Organisaties moeten zowel samenwerkingscontroles als externe-toegangscontroles onmiddellijk herzien:

• Beperk inkomende Teams-communicatie van onbeheerde externe accounts
• Overweeg een allowlist van vertrouwde externe domeinen voor Teams-contact
• Maak een inventaris van de gebruikte tools voor externe monitoring en externe support
• Verwijder of schakel Quick Assist uit waar dit niet nodig is
• Train gebruikers om IT-supportverzoeken te verifiëren via goedgekeurde interne kanalen
• Monitor verdacht gebruik van legitieme admin tools en ongebruikelijke externe sessies

Conclusie

Dit rapport is een duidelijke herinnering dat moderne inbraken vaak beginnen met overreding, niet met exploitatie. Beveiligingsteams moeten externe Teams-toegang versterken, onnodige tooling voor externe support verminderen en gebruikersverificatieprocessen aanscherpen om op vertrouwen gebaseerde aanvallen moeilijker uitvoerbaar te maken.