by Avv. Francesco Cucci

VULNERABILITÀ DI MICROSOFT TEAMS E L’ATTENZIONE DEGLI HACKER AI DATI AZIENDALI

Microsoft teams è diventata l’applicazione d’eccellenza per il lavoro a distanza, con una esplosione nell’ultimo anno.

Nonostante l’affidamento degli utenti, le attività di attacco hacker su “Teams” sono diventate evidenti.

Le aziende che utilizzano “Teams” per creare riunioni  (praticamente tutte) dovrebbero proteggersi molto meglio da perdita di dati ed ingresso di file e link dannosi, adottando le stesse politiche seguite nella protezione della posta elettronica.

Secondo un’analisi di Avanan (scaricabile qui), a dicembre 2020 solo un utente su quattro all’interno delle organizzazioni che utilizzano Microsoft 365, si è servito effettivamente di Teams su base quotidiana, sicché nel 2021 c’è ancora un amplissimo margine di crescita.

Teniamo conto che nel 2020 si è passati già dai 32 milioni di utenti “quotidiani” di Teams di marzo 2020, ai 115 milioni di dicembre 2020.

Con quella di Teams vi è stata anche la crescita dell’attenzione degli hacker che prendono di mira questa piattaforma per i dati, le informazioni personali e aziendali e come trampolino di lancio per ulteriori attacchi.

Secondo AVANAN la prima e forse più importante cosa da sapere su Microsoft Teams è che, di default, non è protetto. Infatti:

VULNERABILITA’ INTRINSECHE E COMPORTAMENTALI

·        Con un solo clic le informazioni sensibili possono essere inoltrate all’esterno dell’organizzazione, sia per errore dell’utente, sia a causa di un attacco da parte di insider o di hacker che possono aver compromesso un account.

·        Possono essere aggiunti membri esterni ad un canale senza che i membri del team possano rendersene conto, condividendo di fatto informazioni proprietarie o riservate con persone di cui non conoscono la presenza “in ascolto”.

·        Gli account dei partner compromessi potrebbero essere utilizzati dagli hacker per attaccare gli utenti finali dell’organizzazione, mentre l’organizzazione non ha alcun controllo sulla sicurezza del partner.

·        I canali creati dai partner non consentono la visibilità al canale dell’organizzazione, tramite admin o API. Di conseguenza, l’azienda può non sapere cosa è stato condiviso su questi canali e i dati non vengono controllati.

·        Gli utenti finali generalmente condividono qualsiasi cosa nei Team, comprese le informazioni sensibili, perché presumono che, a differenza delle e-mail, non siano queste chat non siano monitorate o archiviate.

Inoltre, Microsoft Teams, per impostazione predefinita, non fornisce una sicurezza efficace per i contenuti dannosi:

·        I link nella chat non vengono analizzati affatto.

·        I file vengono scansionati, ma non istantaneamente e solo per problemi di base. Ciò significa che il malware può rimanere nella chat per ore e ore

·        Quando gli hacker hanno scoperto questo, hanno iniziato a prendere di mira i team di “Microsoft Teams”. In generale, hanno approfittato di due aspetti principalmente:

A partire da un account Microsoft 365 con l’indirizzo di posta elettronica compromesso.

Le stesse credenziali che vengono utilizzate per accedere alla posta elettronica Microsoft vengono utilizzate per accedere ai Team. Gli hacker hanno passato anni a compromettere gli account Microsoft 365 utilizzando i tradizionali metodi di phishing. Una volta che hanno queste credenziali, possono – e lo faranno – entrare in Teams.

Sfruttando la fiducia intrinseca che gli utenti finali ripongono in Team. Non c’è motivo di pensare che qualcuno non sia chi dice di essere. Gli utenti rispondono liberamente ai messaggi, cliccano sui link e scaricano i file condivisi senza pensarci due volte.

COME DIFENDERSI?

Per combattere questi attacchi, una soluzione auspicata per Teams dovrebbe essere quella di analizzare attivamente il contenuto alla ricerca di file e link dannosi, identificandoli in tempo reale e distruggendoli se necessario. Inoltre, dovrebbe rilevare gli account compromessi, le minacce interne e le configurazioni non protette per prevenire potenziali compromissioni prima che una minaccia si materializzi.

Infine, il contenuto dovrebbe essere analizzato alla ricerca di informazioni, messaggi o file sensibili e, una volta rilevato il contenuto, dovrebbe essere messo in quarantena con la possibilità di attivare un flusso di lavoro per estrarlo eventualmente dalla quarantena.

Una volta che gli utenti sanno di essere monitorati, in genere cambiano il loro comportamento e agiscono in modo più responsabile!

In conclusione, il business oggi viaggia su Microsoft Teams.

Chat, videoconferenze, condivisione di file: è tutto su Teams.

Mentre all’inizio Teams era stato progettato principalmente per la comunicazione interna all’azienda, oggi sempre più organizzazioni lo utilizzano anche per la comunicazione con i loro partner esterni. Mentre continua a diventare parte della vita quotidiana, gli hacker trovano sempre più modi per infiltrarsi.

Di conseguenza, le aziende dovrebbero scansionare i contenuti dei team alla ricerca di link e file dannosi, DLP e minacce interne.

Il modo migliore per pensare a questo problema è quello di espandere la sicurezza della posta elettronica a tutte le linee di comunicazione e adottare una policy di sicurezza a tutto tondo, proteggendo ogni applicazione in cui si svolge l’attività.

Write a comment:

*

Your email address will not be published.

logo-footer

P.IVA 02203350406

Cod. Fisc. CCCFNC66P18H294J