Các nhà nghiên cứu bảo mật vừa phát hiện một cross-tenant blind spot trong Microsoft Teams, cho phép kẻ tấn công bỏ qua các lớp bảo vệ của Microsoft Defender for Office 365 của nạn nhân bằng cách dụ họ tham gia một phòng chat với tư cách guest access trong tenant độc hại.

Lỗ hổng này mở ra con đường mới cho các cuộc tấn công phishing và phát tán mã độc tinh vi, đặc biệt khi Microsoft đang mở rộng tính năng cho phép người dùng chat với bất kỳ ai qua email. Theo nghiên cứu từ Rhys Downing, khi một người dùng chấp nhận lời mời làm khách vào một tenant bên ngoài, các biện pháp bảo vệ của tổ chức họ sẽ bị vô hiệu hóa. Sự an toàn của họ lúc này hoàn toàn do hosting environment quyết định, chứ không phải chính sách bảo mật mạnh mẽ của công ty họ. Điều này tạo điều kiện cho kẻ tấn công thiết lập các protection-free zones bằng cách sử dụng các license Microsoft 365 cơ bản như Teams Essentials vốn không bao gồm các tính năng an toàn như Safe Links và Safe Attachments.

Kỹ thuật tấn công được đánh giá là cực kỳ xảo quyệt, kẻ tấn công gửi lời mời tham gia chat Teams bằng cách nhập địa chỉ email của nạn nhân. Lời mời này được gửi đi tự động từ chính hạ tầng của Microsoft, do đó, nó dễ dàng bỏ qua các kiểm tra email bảo mật quan trọng như SPF, DKIM và DMARC. Nếu nạn nhân chấp nhận lời mời, họ sẽ bước vào môi trường độc hại và bị kẻ tấn công gửi các phishing links hoặc file đính kèm chứa malware mà không bị Defender for Office 365 của tổ chức nạn nhân phát hiện.

Nhà nghiên cứu cảnh báo rằng tổ chức của nạn nhân hoàn toàn không hề hay biết về cuộc tấn công, vì nó xảy ra bên ngoài ranh giới bảo mật của họ. Trong bối cảnh Microsoft đang mở rộng tính năng chat bên ngoài (dự kiến hoàn tất vào tháng 1/2026), các tổ chức được khuyến nghị khẩn trương hạn chế cài đặt B2B collaboration để chỉ chấp nhận lời mời từ các domain đáng tin cậy hoặc triển khai các biện pháp kiểm soát truy cập liên tenant. Việc đào tạo nhân viên cảnh giác với các lời mời Teams không được yêu cầu từ bên ngoài là vô cùng cần thiết.