Josimar HedlerOs casos de ataques ao Microsoft Teams têm aumentado, vamos analisar um dos casos mais recentes, Microsoft Teams e uma das principais ferramentas de colaboração e comunicação empresarial, e tem sido alvo de novos ataques de phishing que exploram suas funcionalidades para distribuir malware. Uma das ameaças em destaque é o DarkGate, um trojan de acesso remoto (RAT) utilizado por cibercriminosos para obter controle remoto sobre sistemas comprometidos.
Recentemente, campanhas de engenharia social têm se aproveitado da confiabilidade do Teams para enviar solicitações de bate-papo em grupo maliciosas, induzindo as vítimas a baixar arquivos com extensões duplas e repetidas, o malware DarkGate conecta-se a um servidor de comando e controle, permitindo que os invasores controlem as máquinas das vítimas para realizar ações como roubo de credenciais, keylogging e captura de tela.
Além disso, o uso de ferramentas de acesso remoto, como AnyDesk, tem sido utilizado por invasores para facilitar a instalação do DarkGate, utilizando táticas como a imitação de um fornecedor externo no Teams. O DarkGate, que evoluiu para uma plataforma de malware como serviço (MaaS), tem demonstrado a evidência das ameaças cibernéticas e como elas se adaptam aos canais de comunicação usados no ambiente corporativo.
Para se proteger contra esses ataques, é crucial que as organizações adotem medidas de segurança, como desabilitar o acesso externo no Teams, (a menos que seja absolutamente necessário para uso comercial diário), habilitar a autenticação multifator (MFA) e realizar o monitoramento rigoroso das ferramentas de suporte técnico e acesso remoto.
Análisando esse cenário e podemos observar que o erro principal está na combinação de falhas humanas, lacunas de conscientização, e inadequações nos controles técnicos e operacionais.
Nesse artigo vamos analisar os principais pontos de vulnerabilidade e identificar formas de fortalecer a segurança no Microsoft Teams.
ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção
Veja alguns pontos Críticos que resultaram no ataque.
1. Engenharia social como vetor de ataque.
O uso de engenharia social nesse ataque evidencia a falta de conscientização e treinamento regular dos colaboradores. Muitos usuários não estão preparados para identificar abordagens fraudulentas ou questionar interações suspeitas em plataformas de comunicação como o Teams. A confiança excessiva nos sistemas corporativos é explorada pelos atacantes.
2. Políticas de segurança insuficientes.
A possibilidade de instalar ferramentas como o AnyDesk sem restrições reflete uma política de segurança permissiva ou inadequadamente configurada. Gestão de dispositivos e controle de aplicações são aspectos fundamentais que poderiam mitigar este tipo de ataque, limitando a execução de softwares não autorizados.
3. Falta de monitoramento e alerta em tempo real.
Ataques como o DarkGate mostram a ausência de ferramentas robustas de monitoramento e resposta a incidentes (SIEM/SOAR). O tráfego malicioso ou tentativas de exploração poderiam ser detectados rapidamente com sistemas configurados para alertar sobre comportamentos anômalos.
4. Falha na autenticação e validação de identidade.
No ambiente do Teams, os atacantes conseguem se passar por clientes ou fornecedores devido à ausência de mecanismos mais rigorosos de verificação de identidade, como validação de contas externas e controles de acesso adaptativos baseados em risco.
5. Configuração inadequada da ferramenta.
Plataformas como o Teams têm configurações avançadas de segurança, mas muitas organizações não exploram essas capacidades. É possível implementar políticas de bloqueio ou restrição de interações com usuários externos desconhecidos e limitar a distribuição de arquivos.
Vamos identificar as medidas de segurança sugeridas.
Uma sugestão para aumentar a segurança é adotar o modelo Zero Trust (Confiança Zero), que é uma estratégia moderna baseada no princípio “nunca confie, sempre verifique”.
Ao invés de presumir que tudo dentro do firewall corporativo é seguro, o modelo Zero Trust assume que uma violação pode ocorrer a qualquer momento e verifica cada solicitação como se ela fosse proveniente de uma rede aberta, garantindo um controle mais rigoroso e contínuo sobre o acesso aos recursos corporativos.
Você pode conferir esse artigo completo clicando aqui.
- Treinamento contínuo de conscientização.
Promover campanhas de e sessões educativas para ensinar os colaboradores a identificar mensagens suspeitas e de simulação de ataques de phishing o Microsoft Defender possui um simulador de ataque você pode se inscrever para uma avaliação gratuita de até 90 dias. - Restrição de instalação de software:
Implemente políticas de Application Control no Microsoft Intune ou outra solução de MDM para restringir a instalação de aplicativos não aprovados. Você pode atingir esse objetivo com Microsoft Intune e bloquear aplicativos internos e criar uma lista de aplicativos permitidos ou proibidos, veja mais aqui. - Validação de identidade avançada:
Configure o Acesso condicional para idendidades externas e aplicar verificações adicionais, autenticação multifator (MFA), especialmente em interações externas. - Bloqueio de interações externas desnecessárias:
Ajuste o Teams External Access para permitir apenas comunicação com parceiros confiáveis. Proteger o acesso externo ao Microsoft Teams. - Monitoramento proativo.
Configure ferramentas de segurança como Microsoft Defender for Office 365 e Microsoft Sentinel para identificar comportamentos anômalos e responder rapidamente a incidentes. - Segregação de privilégios.
Implemente o princípio do menor privilégio para reduzir o impacto de um comprometimento, restringindo privilégios administrativos.
Conclusão
O erro está na ausência de uma abordagem integrada de segurança, onde pessoas, processos e tecnologia trabalham juntos. É fundamental alinhar práticas de segurança cibernética com os riscos atuais, especialmente em plataformas amplamente utilizadas como o Teams, que são alvos atrativos e amplamente aceito, o que o torna um alvo interessante para exploração.
Você já vivenciou algum ataque no Teams? Quais desafios enfrentou e quais sucessos alcançou? Sua experiência é valiosa, não deixe de compartilhar sua opinião.
Links Úteis: Segurança e Microsoft Team
Sua contribuição é importante. Venha também fazer parte dessa jornada.
