Các chuyên gia bảo mật đang cảnh báo về một tính năng sắp ra mắt của Microsoft Teams, cho phép người dùng chat với bất kỳ ai qua email, ngay cả khi họ không có tài khoản. Mối lo ngại lớn nhất là tính năng này được “bật mặc định”, tạo ra một vector tấn công mới cho các chiến dịch phishing và phát tán malware mà không cần xác thực trước.

Tính năng này, dự kiến triển khai toàn cầu vào tháng 1 năm 2026, cho phép người dùng bên ngoài tham gia chat với tư cách khách thông qua lời mời email, được quản lý bởi chính sách Microsoft Entra B2B Guest. Dù được thiết kế để tăng cường cộng tác, việc kích hoạt mặc định lại phá vỡ các ranh giới tin cậy.

Mối đe dọa chính là social engineering và phishing. Hacker có thể dễ dàng tạo ra các lời mời chat mạo danh đối tác hoặc khách hàng, lừa người dùng chia sẻ thông tin nhạy cảm hoặc nhấp vào link độc hại ngay bên trong một giao diện đáng tin cậy là Microsoft Teams.

Vector tấn công này đặc biệt nguy hiểm cho việc phát tán malware. Các tệp tin được gửi trực tiếp qua Teams có thể bỏ qua các bộ lọc bảo mật email truyền thống. Hacker có thể sử dụng Teams làm phương tiện để đưa ransomware hoặc spyware vào mạng nội bộ.

Để giảm thiểu rủi ro, các quản trị viên Teams được khuyến cáo phải chủ động tắt tính năng này nếu không có nhu cầu sử dụng. Việc vô hiệu hóa được thực hiện thông qua PowerShell bằng cách thiết lập thuộc tính UseB2BInvitesToAddExternalUsers trong TeamsMessagingPolicy thành $false. Các chuyên gia cũng nhấn mạnh tầm quan trọng của việc thực thi MFA và đào tạo nhận thức cho người dùng.