ثغرة أمنية في دردشة الضيوف في Microsoft Teams تعرض المستخدمين لهجمات البرامج الضارة

 

 

 ثغرة كبيرة في وصول الضيوف B2B في Microsoft Teams تسمح للمهاجمين بتجاوز حماية Defender لـ Office 365، مما يُنشئ مناطق غير محمية لهجمات التصيد الاحتيالي والبرامج الضارة.

في الأمن السيبراني، سلّطنا الضوء مؤخرًا على كيفية تعريض ميزة "الدردشة مع أي شخص" الجديدة في Microsoft Teams المستخدمين لهجمات التصيد الاحتيالي والبرامج الضارة.

 تنبع هذه المشكلة المعمارية، التي أبرزتها O t u e، من ميزات الدردشة الجديدة بين المستأجرين المُفعّلة افتراضيًا، مما يُمكّن الجهات المُهدّدة من إغراء المستخدمين بالدخول إلى مستأجرين ضارين لا تنطبق عليهم إجراءات الحماية المُعتمدة في المؤسسات الرئيسية، مثل الروابط الآمنة والمرفقات الآمنة. ومع تزايد أهمية Teams في التعاون المؤسسي، يتفاقم هذا الخطر مع انخفاض تكاليف الإعداد للمهاجمين.

 يتيح تحديث Microsoft MC1182004، الذي تم إطلاقه في نوفمبر 2025، لأي مستخدم Teams بدء المحادثات باستخدام عناوين بريد إلكتروني خارجية، ودعوة المستلمين تلقائيًا كضيوف.

 مُفعّل افتراضيًا في جميع التراخيص، بما في ذلك باقات الشركات الصغيرة والمتوسطة منخفضة التكلفة مثل Teams E n l s، ويتلقى المستلمون إشعارات مايكروسوفت شرعية تتجاوز مرشحات البريد الإلكتروني. على الرغم من أن هذه الميزة تهدف إلى تبسيط التعاون، إلا أنها تتجاهل ضوابط الدعوات الواردة، حيث إن تعطيل الدعوات الصادرة عبر P S l (S -C Teams -U B2B I sT A E U $false) لا يوفر حماية من الدعوات الواردة.

 محادثة الضيوف في Teams المستخدمين

في سيناريوهات الضيوف، تُفرض سياسات الأمان من مستأجر المورد، أي مُضيف المحادثة، وليس من المستأجر الرئيسي للمستخدم. تتحقق ميزات D f d r لـ Office 365، مثل الروابط الآمنة لفحص عناوين URL، والمرفقات الآمنة لحذف الملفات، والمسح التلقائي في ساعة الصفر (ZAP)، من اشتراكات وسياسات المُضيف.

 يستغل المهاجمون هذه الثغرة بإنشاء مستأجرين تجريبيين أو أساسيين يفتقرون إلى Dfdr، مما يؤدي إلى تعطيل عمليات الفحص بالكامل، والسماح بالتوصيل الآمن للروابط والملفات الضارة دون تنبيهات في وحدة تحكم أمان الضحية، لبحث O t u e.

يبدأ المهاجمون بإنشاء مستأجر أساسي، ثم يستهدفون المستخدمين عبر L k I n أو الاختراقات بدعوات وهمية مثل محادثات البائعين.

 يقبل الضحايا، ويدخلون نطاق المهاجم حيث يبني التصيد الاحتيالي الثقة، وينتشر البرنامج الخبيث دون رادع، وتُسرب البيانات دون أن يلاحظها أحد. ثم ينتقلون إلى أدوات مثل QkA، وكلها غير مرئية لأدوات Dfdr في المؤسسة الأم.

 وصول الضيف، الوصول الخارجي
تنفيذ السياسة، ضوابط مستأجر الموارد (بدون حماية رئيسية)
يحتفظ المستأجر الرئيسي بالحماية
استخدام هجوم شائع: دعوات إلى محادثات/قنوات ضارة، مراسلة موحدة
ميزات الحماية التي تم تجاوزها (الروابط الآمنة، ZAP، المرفقات)
يتم التطبيق بشكل طبيعي

 يجب على المؤسسات تقييد دعوات الضيوف في إعدادات التعاون الخارجي لـ Entra ID على النطاقات المسموح بها فقط.

انشر ​​سياسات وصول مشتركة بين المستأجرين لحظر تعاملات B2B غير الموثوقة افتراضيًا، وتقييد الوصول الخارجي لـ Teams إلى نطاقات محددة في مركز الإدارة. يُكمل تدريب المستخدمين على رفض الدعوات غير المرغوب فيها عملية الدفاع، مما يُواجه هذا الخطر المُفعّل افتراضيًا قبل تزايد الاستغلال.