Seit Januar dieses Jahres sehen IT-Sicherheitsforscher der CheckPoint-Tochterfirma Avanan eine Häufung an in Angriffen auf Microsoft Teams-Chats. Die Angreifer laden dabei eine bösartige ausführbare Datei als Anhang in den Chat von Teams-Teilnehmern und Teams-Gruppen. Bei Ausführung schreibt die Datei UserCentric.exe Daten in die Windows-Registrierung, installiert DLL-Bibliotheken und erstellt Shortcut-Verknüpfungen.

Schließlich übernehme sie den Computer. Avanan erklärt, inzwischen tausende solcher Angriffe beobachtet zu haben. Dieser neue Angriffsweg über Microsoft Teams ermögliche den Cyberkriminellen, vergleichsweise einfach potenziell Millionen von Nutzern zu attackieren – Medienberichten zufolge nutzen derzeit 270 Millionen Menschen Teams.

Anschleichen ...

Zunächst müssen sich die Angreifer Zugriff zu Teams verschaffen. Dies gelinge auf mehreren Wegen, führt Avanan im Blog-Beitrag aus. Einerseits könnten Angreifer das Netzwerk einer Organisation kompromittieren, etwa durch Sicherheitslücken, und dort Chats belauschen. Sie könnten aber auch E-Mail-Adressen unterwandern und nutzen. Insbesondere im Phishing nach Microsoft 365-Zugängen seien Cyberkriminelle inzwischen sehr versiert. Und diese Zugangsdaten lassen sich auch für Teams nutzen.

Sofern die Angreifer Zugriff auf die Netzwerke haben, können sie auch die eingesetzten Schutzmaßnahmen erkennen. Dadurch wissen sie, mit welcher Schadsoftware sich der Malware-Schutz unterlaufen lässt. Die Avanan-Forscher bemängeln, dass standardmäßige Schutzmaßnahmen vor bösartigen Links und Dateien in Teams fehlen und Scans davon nur begrenzt möglich sind.

Ungerechtfertigtes Vertrauen

Die IT-Sicherheitsforscher erklären, dass die Endnutzer Teams starkes Vertrauen entgegenbringen, anders als etwa E-Mails. Bei einer Untersuchung in Krankenhäusern fanden sie heraus, dass Ärzte etwa medizinische Informationen über Patienten ohne Einschränkungen in Teams austauschten. Dabei sei ihnen das Risiko beim Teilen solcher Daten per E-Mail bewusst.

Zudem könnten fast alle Nutzer auch weitere Nutzer in Teams einladen und es gebe kaum eine Übersicht, wer wen und wo eingeladen hat. Aufgrund der fehlenden Vertrautheit mit der Teams-Plattform würden viele solchen Anfragen einfach vertrauen und diese bestätigen. Innerhalb einer Organisation könnten Angreifer zudem sehr einfach vortäuschen, jemand anderes zu sein, sei es die Geschäftsführung, Finanzchefin oder jemand aus der IT-Abteilung.

Während viele Angestellte inzwischen geschult sein, Identitäten von E-Mails zu hinterfragen, wisse kaum jemand, wie man die Echtheit von Foto und Name sicherstellt, die in einer Teams-Unterhaltung angezeigt werden. Ein Profil zu editieren und fast jede Identität anzunehmen, die man wolle, sei sehr einfach.

Schutzmaßnahmen

Die Forscher schlagen Schutzmaßnahmen vor. Wenn jemand Dateien an Teams-Chats anhängt, sollten die Nutzer misstrauisch werden und noch mal darüber nachdenken, diese auch zu öffnen. Insbesondere, wenn sie den Namen User Centric trägt.

Die IT-Abteilung in Unternehmen solle zum Schutz vor künftigen Angriffen weitere Maßnahmen umsetzen. Dazu gehört die Umsetzung eines Schutzes, der alle Dateien in eine Sandbox herunterlädt und darin analysiert. Zudem solle eine robuste und vollumfängliche Schutzsoftware eingesetzt werden, die alle Wege der Geschäftskommunikation umfasst, auch Teams. Zu guter Letzt geben die IT-Sicherheitsforscher den Hinweis, dass Endnutzer sich an die IT-Abteilung wenden sollten, wenn sie eine ungewöhnliche Datei sehen.

(dmk)