美國海軍的一名成員創建了一個工具來利用 Microsoft Teams 的缺陷

流行的Microsoft Teams在線會議服務存在一個缺陷，可能允許黑客從外部向 Teams 組發送惡意附件。美國海軍的一名成員創建了一個利用此漏洞的工具，努力讓企業意識到這個問題。

美國海軍紅隊成員 Alex Reid在 GitHub 上發布了該工具，他將其稱為 TeamsPhisher 。據PCWorld報導，紅隊的目標是模擬黑客攻擊，然後為受影響的用戶找到抵禦這些攻擊的方法。

該程序的自述文件提供了有關基於 Python 的工具如何工作的一些信息：

向 TeamsPhisher 提供附件、消息和目標 Teams 用戶列表。它將把附件上傳到發件人的 Sharepoint，然後遍歷目標列表。

TeamsPhisher 首先會枚舉目標用戶並確保該用戶存在並且可以接收外部消息。然後它將與目標用戶創建一個新線程。請注意，從技術上講，這是一次“群組”聊天，因為 TeamsPhisher 兩次包含目標電子郵件；這是 @Medu554 的一個絕妙技巧，它將繞過“組織外部的某人向您發送消息，您確定要查看它嗎”啟動屏幕，該啟動屏幕可以給我們的目標暫停的理由。

在我們的發件人和目標之間創建新線程後，指定的消息將連同 Sharepoint 中附件的鏈接一起發送給用戶。

發送此初始消息後，創建的線程將在發送者的 Teams GUI 中可見，並且如果需要的話可以根據具體情況手動進行交互。

自述文件確實表示，使用 Teams 的企業可以“通過在 Microsoft Teams 管理中心的用戶 -> 外部訪問下管理與外部訪問相關的選項”來阻止 TeamsPhisher 之類的東西訪問其會議。 “通用塊以及僅將特定外部租戶列入白名單以進行通信。”

BleepingComputer收到了 Microsoft 發言人關於此 Teams 問題的評論：

我們了解這份報告，並確定其成功依賴於社會工程。我們鼓勵客戶養成良好的在線計算習慣，包括在點擊網頁鏈接、打開未知文件或接受文件傳輸時務必謹慎。

基本上，聽起來微軟並不覺得這是 Teams 本身的缺陷，但管理員和用戶只需不要打開、單擊或接受他們不知道的文件或鏈接。對於任何在線活動來說，這都是一個很好的建議。