Fitur kolaborasi Microsoft Teams yang kaya dan penggunaannya yang luas menjadikannya target utama ancaman siber. Penjahat siber dan penyerang yang disponsori negara mengeksploitasi fitur perpesanan, panggilan, rapat, dan berbagi layar Teams untuk melancarkan serangan. Meskipun Inisiatif Future Aman Microsoft memperkuat keamanan bawaan, organisasi didesak untuk memaksimalkan kemampuan keamanan yang berhadapan langsung dengan pelanggan. Untuk memperkuat lingkungan Teams terhadap ancaman ini, Microsoft merekomendasikan penerapan langkah-langkah penanggulangan di berbagai lapisan, termasuk identitas, titik akhir, aplikasi data, dan jaringan.

Penyerang menggunakan rantai serangan multi-tahap. Dimulai dengan fase pengintaian, di mana mereka mengeksploitasi identitas Microsoft Entra ID dan konfigurasi Teams untuk mengumpulkan informasi. Alat sumber terbuka seperti ROADtools dan TeamsEnum digunakan untuk memetakan hubungan dan izin pengguna. Setelah pengintaian, dalam fase pengembangan sumber daya, penyerang biasanya menyamar sebagai pengguna yang sah. Hal ini dilakukan dengan membahayakan penyewa yang dikonfigurasi dengan buruk atau membeli penyewa yang sah untuk mendapatkan kepercayaan.

Akses awal sering kali diperoleh melalui penipuan dukungan teknis, di mana pelaku kejahatan siber menyebarkan malware dan mencuri kredensial. Microsoft telah mengamati berbagai taktik, termasuk bom email dan penggunaan deepfake, untuk mengelabui pengguna agar memberikan akses. Teknik persistensi meliputi perolehan token autentikasi dan penipuan phishing untuk mempertahankan akses ke sistem yang telah disusupi.

Microsoft menekankan pentingnya memperkuat perlindungan identitas melalui kebijakan dan manajemen akses istimewa. Keamanan titik akhir dapat diperkuat dengan selalu memperbarui perangkat lunak dan mengaktifkan perlindungan jaringan dan web. Untuk klien dan aplikasi Teams, mereka merekomendasikan untuk mengikuti rekomendasi Secure Score dan menggunakan Intune untuk mengelola Teams. Templat rapat dan label sensitivitas sebaiknya digunakan bersama dengan kebijakan manajemen untuk melindungi data sensitif.

Untuk mengatasi ancaman ini, Microsoft menyarankan program pelatihan dan peningkatan kesadaran, termasuk pelatihan simulasi serangan. Pengembang harus mengikuti praktik terbaik saat menggunakan Microsoft Graph API. Organisasi juga dianjurkan untuk menyiapkan langkah-langkah deteksi dan respons, seperti audit dan perburuan ancaman, untuk mengidentifikasi dan memitigasi ancaman secara efektif.