Microsoft Teams访客聊天漏洞使用户面临恶意软件攻击

Microsoft Teams已成为全球企业主要的沟通工具。因此，安全团队花费大量时间和金钱在像Microsoft Defender for Office 365这样的保护服务上，以防范网络钓鱼邮件、恶意链接和恶意软件等威胁。

然而，安全公司Ontinue于11月26日星期三发布的新研究显示，在Microsoft Teams与外部合作伙伴协作的标准配置（称为B2B访客访问）中存在一个巨大的安全漏洞，该漏洞允许攻击者完全绕过公司的Microsoft Defender防护。

访客状态下的安全控制权在谁手中？

这个问题实际上并非Teams软件中的漏洞，而是关于员工与外部团体协作时的安全管理方式。Ontinue的博客文章明确指出：当您的员工接受外部邀请并加入另一家公司的聊天时，他们的安全不再由其所属组织决定。相反，研究发现安全“完全由该托管环境控制”。

这一发现令人高度担忧。用户一旦接受访客邀请，便会立即失去其所属组织的所有安全功能，包括安全链接（点击前检查链接是否危险的系统）和零小时自动清除（ZAP）——该功能旨在追溯性删除恶意消息。攻击者正在利用这一点。他们知道可以创建自己的基础Teams账户，并完全关闭其安全策略，从而基本构建了一个完美的陷阱。

进一步的调查显示，攻击者所需的资源极少。他们可以使用低成本订阅甚至试用版来建立一个基础的Microsoft 365环境。由于这些基础账户默认缺乏如Defender等安全套件，它们处于无保护状态，这意味着攻击者无需任何复杂设置即可实现“无保护区域”。

简易的入侵途径

由于Microsoft在2025年11月推出的一个功能（MC1182004），该风险变得更为简单，此功能对大多数用户默认开启。该设置允许任何Teams用户与任何电子邮件地址开始聊天，即使是当前未使用Teams的人。受害者会收到一个看起来真实的Microsoft邀请，只需单击一次即可进入恶意的、无保护的环境。

这种简易的邀请方式，加上大多数组织默认接受来自全球任何公司的访客邀请，意味着许多公司都暴露在此风险之下。一旦进入该环境，攻击者可以轻松地向员工传递网络钓鱼链接和恶意软件，而不会出现任何安全警告。此外，他们还可以窃取信息（或盗取敏感数据）并进行大规模的社会工程学攻击。

专家敦促立即采取行动

Ontinue强烈建议公司迅速更改其配置，将访客邀请限制在明确信任的域名范围内。

行业领袖也就此发现发表了看法，并向Hackread.com分享了他们的观点。他们强调这是一个严重的架构问题，需要更改配置，而不仅仅是打补丁。

Keeper Security的首席信息安全官Shane Barney指出了此次攻击的欺骗性：“熟悉的界面可能给人安全措施保持一致的印象，但实际生效的防护完全取决于托管租户的配置方式。”他补充说，组织必须确保“访问权限被适当限制，并且与敏感系统相关的活动得到持续监控。”

Bugcrowd的进攻性安全战略与运营高级副总裁Julian Brownlow Davies向用户阐明了这个令人不安的事实：“当您的用户作为访客进入他人的租户时，您自己的Defender for Office 365防护实际上就消失了。”他总结道，由于攻击者会滥用协作功能，“您必须假设攻击者会滥用‘合法’的协作功能。”

最后，ColorTokens的首席布道师Agnidipta Sarkar强调了立即制定策略回应的必要性：“在微软解决此漏洞之前，组织必须立即制定策略应对此事，并禁止所有来自先前未知用户的Teams B2B会议。”他建议公司配置技术控制措施，以确保Teams仅允许与预定义域名的B2B连接。