Microsoft, kurumsal kullanıcıları hedef alan yeni nesil bir saldırı zincirine dikkat çekti. Bu yöntemde tehdit aktörleri, geleneksel e-posta oltalamasından farklı olarak Microsoft Teams’in harici iletişim özelliklerini kullanıyor. Saldırganlar farklı bir Microsoft 365 tenant’ı üzerinden kurum çalışanlarına ulaşıyor, kendilerini IT veya helpdesk personeli gibi tanıtıyor ve kullanıcıları uzaktan destek oturumu başlatmaya ikna etmeye çalışıyor.
Saldırının en kritik noktası, ilk temasın güvenilir görünen bir kurumsal iletişim platformu üzerinden gerçekleşmesi. Kullanıcı, Teams üzerinde kendisiyle iletişime geçen kişiyi teknik destek ekibinden biri sanabiliyor. Ardından Quick Assist veya benzeri uzaktan destek araçları kullanılarak kullanıcının cihazına erişim sağlanıyor.
Bu noktadan sonra saldırganlar yalnızca kullanıcı cihazında kalmakla yetinmiyor. Microsoft’un analizine göre saldırganlar, yasal ve güvenilir görünen araçları kötüye kullanarak kurum ağı içinde ilerlemeye çalışıyor. WinRM gibi yerel yönetim protokolleri, ticari uzaktan yönetim yazılımları ve veri transfer araçları kullanılarak domain controller gibi kritik sistemlere erişim denenebiliyor. Bazı vakalarda hassas verilerin dış bulut depolama alanlarına aktarılmak üzere hazırlandığı görülüyor.
Buradaki risk, Microsoft Teams’in doğrudan bir zafiyetinden değil, harici iş birliği kabiliyetlerinin sosyal mühendislik için kötüye kullanılmasından kaynaklanıyor. Yani sorun teknik bir açık kadar, kullanıcıyı ikna etmeye dayalı bir güven istismarıdır.
Bu nedenle kurumların Microsoft Teams External Access, Guest Access, Anonymous Meeting Join ve Defender for Office 365 politikalarını yeniden gözden geçirmesi kritik önem taşıyor.
Kurumlar İçin Önerilen Önlemler
1. Teams External Access Ayarlarını Sınırlandırın
Microsoft Teams Admin Center üzerinde External Access ayarları kontrol edilmelidir. Varsayılan olarak tüm dış domain’lerle iletişime izin vermek yerine, yalnızca güvenilen ve iş ihtiyacı bulunan domain’lere izin verilmelidir.
Önerilen yaklaşım:
- External Access ayarını “Allow only specific external domains” moduna alın.
- Yalnızca iş ilişkisi bulunan müşteri, tedarikçi ve iş ortağı domain’lerini allow list’e ekleyin.
- Bilinmeyen veya geçici tenant’lardan gelen Teams iletişimlerini engelleyin.
- Gerekli değilse external federation özelliğini geçici olarak tamamen kapatın.
Bu sayede saldırganların rastgele bir Microsoft 365 tenant’ı üzerinden çalışanlarınıza ilk teması kurması önemli ölçüde zorlaşır.
2. Unmanaged Teams Kullanıcılarının İlk Mesaj Atmasını Engelleyin
Teams üzerinde organizasyon tarafından yönetilmeyen Teams hesaplarının kurum kullanıcılarına doğrudan ilk mesajı atması engellenmelidir.
Önerilen ayar:
- “External users with Teams accounts not managed by an organization can contact users in my organization” ayarını kapatın.
Bu ayar kapatıldığında, yönetilmeyen dış Teams hesapları kurum kullanıcılarını e-posta adresiyle arayıp doğrudan iletişim başlatamaz. İletişimin kurum tarafından başlatılması gerekir.
3. Guest Access’i Gerçek İhtiyaca Göre Kısıtlayın
Guest Access, dış kullanıcıların Teams, kanal içerikleri, dosyalar ve uygulamalar gibi kaynaklara erişebilmesini sağlar. Bu özellik her kurum için gerekli değildir.
Önerilen yaklaşım:
- Kullanılmıyorsa Guest Access’i kapatın.
- Kullanılıyorsa sadece belirli ekipler ve iş süreçleri için açın.
- Guest kullanıcıların hangi kanallara, dosyalara ve uygulamalara erişebildiğini düzenli olarak kontrol edin.
- Eski guest hesaplarını periyodik olarak temizleyin.
4. Anonymous Meeting Join Ayarlarını Gözden Geçirin
External Access engellense bile, anonim katılım açık ise bazı kullanıcılar Teams toplantılarına kimlik doğrulaması yapmadan katılabilir. Bu nedenle toplantı politikaları ayrıca kontrol edilmelidir.
Önerilen yaklaşım:
- Anonymous users can join a meeting ayarını kapatın veya yalnızca ihtiyaç duyan kullanıcı grupları için açın.
- Hassas toplantılarda lobby kullanımını zorunlu hale getirin.
- Toplantıya katılan dış kullanıcıların kimlik doğrulamalı olmasını tercih edin.
- Kritik toplantılar için “People in my organization” veya “People I invite” gibi daha kontrollü lobby ayarları kullanın.
5. Microsoft Defender for Office 365 Safe Links’i Teams İçin Etkinleştirin
Saldırganlar Teams mesajları üzerinden zararlı bağlantılar paylaşabilir. Bu nedenle Safe Links politikalarının Teams’i de kapsayacak şekilde etkinleştirilmesi gerekir.
Safe Links, kullanıcının bağlantıya tıkladığı anda URL kontrolü yaparak zararlı veya şüpheli bağlantıları engellemeye yardımcı olur. Bu koruma yalnızca e-posta için değil, Teams mesajları için de kritik hale gelmiştir.
Önerilen yaklaşım:
- Microsoft Defender portalında Safe Links politikalarını kontrol edin.
- Teams mesajları için time-of-click URL protection özelliğinin aktif olduğundan emin olun.
- Mümkünse Standard veya Strict preset security policies kullanın.
- Güvenlik ekiplerinin Teams içindeki zararlı URL tıklamalarını izleyebilmesini sağlayın.
6. ZAP for Teams Özelliğini Aktif Edin
Zero-hour auto purge, ilk teslim anında temiz görünen ancak daha sonra zararlı olduğu anlaşılan içeriklerin geriye dönük olarak temizlenmesini sağlar. Teams için ZAP, yüksek güvenilirlikli phishing veya malware olarak tespit edilen Teams mesajlarını sonradan engelleyip karantinaya alabilir.
Önerilen yaklaşım:
- Microsoft Defender portalında Teams Protection Policy altında ZAP ayarını kontrol edin.
- ZAP for Teams özelliğinin açık olduğundan emin olun.
- Karantina politikalarını gözden geçirin.
- Teams mesajları için admin görünürlüğünü ve olay inceleme süreçlerini tanımlayın.
7. Conditional Access ve MFA Politikalarını Sertleştirin
Harici kullanıcılar, guest hesaplar ve riskli oturumlar için Conditional Access politikaları uygulanmalıdır.
Önerilen yaklaşım:
- Harici kullanıcılar için MFA zorunlu hale getirilmeli.
- Riskli oturumlar için ek doğrulama veya erişim engelleme politikaları uygulanmalı.
- Uyumsuz cihazlardan erişim sınırlandırılmalı.
- Hassas uygulamalara erişim için compliant device veya trusted location şartları değerlendirilmelidir.
8. Kullanıcı Farkındalığını Artırın
Bu saldırıların başarısı büyük ölçüde kullanıcının ikna edilmesine bağlıdır. Bu nedenle teknik kontroller kadar kullanıcı farkındalığı da önemlidir.
Kullanıcılara özellikle şu uyarılar yapılmalıdır:
- Teams üzerinden gelen her dış mesaj güvenilir kabul edilmemelidir.
- IT veya helpdesk olduğunu söyleyen kişiler mutlaka kurum içi resmi kanallardan doğrulanmalıdır.
- Quick Assist, AnyDesk, TeamViewer veya benzeri uzaktan erişim araçları yalnızca resmi destek süreciyle kullanılmalıdır.
- Bilinmeyen kişilerden gelen bağlantılara tıklanmamalıdır.
- Şüpheli Teams mesajları güvenlik ekibine raporlanmalıdır.
Microsoft Teams, kurumlar için güçlü bir iş birliği platformu olsa da, harici erişim ve federation özellikleri kontrolsüz bırakıldığında sosyal mühendislik saldırıları için yeni bir kanal haline gelebilir. Bu nedenle kurumların Teams dış iletişim ayarlarını “herkese açık” modelden çıkarıp “güvenilen domain ve kontrollü erişim” modeline geçmesi gerekir.
Özellikle External Access, Guest Access, Anonymous Join, Safe Links, ZAP for Teams ve Conditional Access politikaları birlikte ele alınmalıdır. Bu saldırı türü yalnızca e-posta güvenliğiyle engellenemez; Teams, kimlik, endpoint ve kullanıcı farkındalığı katmanlarını kapsayan bütünleşik bir güvenlik yaklaşımı gerektirir.
Kaynak: