Nach einer Teams-Meeting Videokonferenz tauchten etwa 10 Minuten nach Ende der Besprechung fremde Personen im Chat auf. Vermutlich waren diese Personen auch per Video und Audio in dem besagten Online-Meeting. Die Fremden posteten Spam Nachrichten, die Links zu Instagram und YouTube beinhalteten.
Das beobachtete ich, nachdem ich für einen Bekannten ein Teams-Meeting organisierte. Aber wie kann das passieren, welches Risiko ist damit verbunden und wie kann man sich dagegen schützen?
Wie ist das möglich?
Ein Teams-Meeting wird typischerweise als Outlook Einladung verschickt. Dabei wird ein langer Link von Microsoft generiert, der die notwendige Information für eine richtigen Verbindung enthält. Der Empfänger der Einladung klickt auf den Link und kann an der Onlinebesprechung teilnehmen.
Link erraten?
Im Teams Pendant Zoom nennt sich das zufällige Erraten eines Videochats Zoombombing und ist auf dieser Plattform scheinbar üblich. Am Freitag 28.03.20 gab es dazu auf Futurezone einen Artikel, wo ein Mann im Videochat masturbierte!!
Aber wie wahrscheinlich ist dieses Szenario bei Microsoft Teams? Ich bin der Meinung sehr gering! Sehr gering deswegen, da der variable Teil des Einladungslinkes 45 Stellen umfasst. Das entspricht einer Verschlüsslung von 285bit, was ca. 4.720e+85 Versuche bedeutet, um diesen herauszufinden. In Jahren: mehrere Millionen Jahre. Wer es selbst ausprobieren möchte, möge auf der Website Passwortcheck folgende Zeichenfolge eingeben: MmJmMDI3NjYtMzE5OS00Yzk3LTk0NjktLjQyMjQyPDhkYTQ1 was dem variablen Teil eines Einladungslinks entspricht.
Falscher Empfänger?
Da die Einladungen per Mail verschickt werden, kann es vorkommen, dass diese nicht immer dort ankommen, wo man es wünscht. Der Absender selbst kann einen Fehler machen und einfach eine falsche E-Mail-Adresse eingeben. Jedoch muss der Empfänger immer noch ein gewisses Maß an krimineller Energie besitzen, um Links zu dubiosen Seiten zu posten, wie in meinem Falle. Also ist auch diese Variante eher unwahrscheinlich.
Absender ist kompromittiert?
Kann ich in meinem Fall ausschließend, wäre aber grundsätzlich denkbar, dass der Angriff gleich direkt am Gerät des Organisators stattfindet.
Empfänger ist kompromittiert?
Der Einladungslink kann auf jedem Gerät geöffnet werden, was bedeutet das neben PC und MAC auch iOS und Android (und viele andere) in Frage kommen. Besonders ältere Smartphones, die keine Updates mehr bekommen, können kompromittiert sein. So können Angreifer Teams Einladungen problemlos zweckentfremden. Klarerweise stellen auch verseuchte PCs ein Risiko dar…. Diese ist somit die wahrscheinlichste Variante, wie die Bösewichte in das Meeting gelangten.
Welches Risiko hat ein Unternehmen durch so einen Angriff?
Datenverlust
Einer der wesentlichen Risiken ist der Datenverlust. In einem Meeting werden Dinge besprochen, die für Fremde meist nicht bestimmt sind. Darüber hinaus werden in Meetings Unterlagen präsentiert bzw. für Teilnehmer freigegeben. Auch diese können Angreifer entwenden.
Spam, Phishing und Co.
Da Angreifer die Möglichkeit haben, Links in dem integrierten Chat zu posten, können so verschiedenste Angriffe praktiziert werden. Diese Attacken sind sehr zielführend, da unbedarfte User nicht mit bösartigen Inhalten rechnen.
Andere Gefahren
Wie in dem Artikel von Futurezone beschrieben, können vielfältige Gefahren durch ein kompromittiertes Onlinemeeting entstehen.
Wie kann man sich schützen?
Personen automatisch zulassen deaktivieren
Im Admin-Portal können sie verhindern, dass anonyme Personen eine Besprechung starten können. Darüber hinaus ist es wichtig, dass sie externe und/oder anonyme Personen erst in die Besprechung einlassen, wenn sie es zulassen.
User schulen
Schulen Sie Ihre Mitarbeiter dahingehend, dass nur eingeladene Personen in das Meeting eingelassen werden. Personen, die falsche Namen oder Spaßbezeichnungen als Gast angeben, sollten nicht eingelassen werden.
Was ich mir von Microsoft Wünsche
Ich wünsche mir einen zusätzlichen Sicherheitscode.