ช่องโหว่ Guest Chat บน Microsoft Teams เปิดทางแฮกเกอร์เจาะข้ามองค์กร ทะลุเกราะป้องกัน

Microsoft Teams เครื่องมือสื่อสารยอดนิยมของคนทำงานกำลังเผชิญหน้ากับความเสี่ยงครั้งใหญ่ เมื่อทีมนักวิจัยความปลอดภัยค้นพบช่องโหว่ในฟีเจอร์ “Guest Chat” ที่กลายเป็นประตูลับให้แฮกเกอร์ส่งมัลแวร์หรือลิงก์อันตรายเข้ามายังองค์กรได้โดยตรง แถมยังหลบหลีกระบบป้องอย่าง Microsoft Defender for Office 365 ได้อย่างแนบเนียน​

ช่องโหว่นี้ไม่ใช่แค่บักทางเทคนิคทั่วไป แต่เป็น “ช่องว่างทางสถาปัตยกรรม” ของระบบ Guest Access ที่ทำให้เกราะป้องกันขององค์กรกลายเป็นอัมพาตทันทีที่ผู้ใช้ก้าวขาข้ามไปคุยใน Tenant หรือ พื้นที่ส่วนตัวของบริษัทอื่น บนคลาวด์

ภัยเงียบที่มากับคำว่า “Guest” (แขกรับเชิญ)

หัวใจของปัญหานี้อยู่ที่วิธีที่ Microsoft Teams จัดการกับสิทธิ์ของผู้ใช้งานต่างองค์กร (Cross-tenant access) ตามปกติแล้ว องค์กรจะลงทุนมหาศาลกับระบบความปลอดภัยอย่าง Microsoft Defender เพื่อกรองไฟล์และลิงก์อันตรายในระบบของตนเอง

แต่ช่องโหว่ใหม่นี้อาศัยหลักการที่ว่า “ขอบเขตความปลอดภัย ยึดตามบ้านของเจ้าบ้าน (Resource Tenant)” นั่นหมายความว่า:

• เมื่อพนักงานของคุณกดรับคำเชิญไปเป็น Guest ใน Teams ของแฮกเกอร์
• กิจกรรม การแชท และการส่งไฟล์ทั้งหมด จะอยู่ภายใต้นโยบายความปลอดภัยของฝั่งแฮกเกอร์ (ซึ่งแน่นอนว่าเขาปิดระบบป้องกันไว้หมด)
• เกราะป้องกันของบริษัทคุณ (Home Tenant) เช่น Safe Links (สแกนลิงก์) หรือ Safe Attachments (สแกนไฟล์) จะไม่มีผลคุ้มครองพนักงานคนนั้นทันที

ฟีเจอร์ “Chat with Anyolne” ยิ่งทำให้เรื่องแย่ลง

สิ่งที่น่ากังวลคือ Microsoft ได้ปล่อยฟีเจอร์ที่ชื่อว่า “Chat with Anyolne” (MC1182004) ซึ่งอนุญาตให้ผู้ใช้ Teams เริ่มแชทกับใครก็ได้เพียงแค่รู้อีเมล โดยไม่ต้องผ่านการอนุมัติที่ซับซ้อนเหมือนก่อน​

แฮกเกอร์จึงฉวยโอกาสนี้:

1. สร้างบัญชี Teams ดูน่าเชื่อถือ (เช่น ปลอมเป็นคู่ค้า หรือ Vendor)
2. ส่งคำเชิญ Chat หรือ Guest invite มาหาพนักงาน
3. เมื่อพนักงานกดรับและสลับไปคุยในโหมด Guest แฮกเกอร์ก็สามารถส่งไฟล์ Ransomware หรือลิงก์ Phishing เข้ามาได้โดยที่ระบบ Defender ขององค์กรเหยื่อ “มองไม่เห็น” และไม่แจ้งเตือนใดๆ

คำแนะนำสำหรับผู้ดูแลระบบ

เนื่องจากปัญหานี้เกิดจาก Design ของระบบ การรอแพตช์อาจไม่ใช่ทางออกเดียว แอดมินควรปรับตั้งค่า Policy เพื่อลดความเสี่ยงดังนี้:

1. จำกัด External Access: ตั้งค่าใน Teams Admin Center ให้รับข้อความได้เฉพาะจากโดเมนที่เชื่อถือ (Allow-list) เท่านั้น แทนที่จะเปิดรับจากทุกคน (Open federation)
2. ​คุมเข้ม B2B Guest Invitation: ใช้ Entra ID (Azure AD) เพื่อกำหนดว่าใครบ้างที่สามารถเชิญ Guest เข้ามา หรือใครบ้างที่ได้รับอนุญาตให้ไปเป็น Guest ที่อื่น
3. อบรมพนักงาน (User Awareness): เน้นย้ำให้พนักงานระวังการกดรับคำเชิญเข้า Teams จากคนแปลกหน้า โดยเฉพาะถ้ามีการขอให้สลับ Tenant เพื่อไปดูไฟล์หรือแชท

ที่มา