協作工具與跨組織安全邊界的消失

Microsoft Teams作為全球企業溝通與協作的核心工具，大大提升了工作效率，但也同時擴大了組織的安全邊界。為應對網路釣魚、惡意連結等威脅，許多公司投入大量資源部署Microsoft Defender for Office 365等高階安全服務。然而，當企業員工開始與外部夥伴進行B2B（企業對企業）訪客存取協作時，一項重大的架構性缺陷浮現，使得這些昂貴的安全投資面臨被完全繞過的風險。此漏洞的核心爭議在於：在跨組織聊天環境中，誰掌握了最終的安全控制權？

Microsoft Teams B2B訪客模式的安全真空區

Ontinue 的最新研究揭露了 Microsoft Teams B2B 來賓存取功能中的一個重大安全漏洞，該漏洞允許攻擊者完全繞過公司的 Microsoft Defender 保護。 問題其實並非出在 Teams 的軟體漏洞上，而是出在員工與外部團隊合作時的安全管理方式。 Ontinue 的部落格文章明確指出：當員工接受外部邀請並加入其他公司的聊天時，他們的安全不再由其所屬公司決定。研究發現，安全「完全由託管環境控制」，這項發現令人極為擔憂。 使用者一旦接受訪客邀請，就會立即失去所有家庭安全功能，包括安全連結（用於在點擊連結前檢查其是否危險的系統）和零時自動清除 (ZAP) 功能（該功能旨在追溯刪除惡意郵件）。攻擊者正在利用這一點，他們深知這一點，因此可以建立完全關閉安全性原則的 Teams 基本帳戶，從而設下完美的陷阱。

這項發現暴露了企業在協作環境中的「安全真空區」：一旦用戶進入「訪客」身份，其所屬公司的Defender for Office 365保護，包括連結安全檢查和惡意郵件追溯刪除機制，便會失效。這使得攻擊者能夠利用看似正常的Teams介面，向員工傳遞惡意軟體或網路釣魚連結，且完全不會觸發用戶熟悉的任何安全警告。Keeper Security 的資訊安全長 Shane Barney 指出，熟悉的介面會給用戶一種安全措施保持一致的錯覺，但實際的安全保障完全取決於託管租用戶的配置。

攻擊路徑的低成本與高效率

調查顯示，攻擊者只需極少的資源。他們可以使用低成本訂閱甚至試用版來搭建一個基本的Microsoft 365 環境。由於這些基本帳戶缺少 Defender 等安全軟體包，預設情況下處於未受保護狀態，這意味著攻擊者無需任何複雜的設定即可實現「無防護區」。

攻擊者可以利用極低的成本，甚至免費試用帳號來建立一個基礎的Microsoft 365環境作為惡意託管端。由於這些基礎訂閱缺乏高級安全套件，它們預設就是「無防護區」。

更甚者，微軟在近期推出了一項功能，允許任何Teams用戶與任何電子郵件地址開始聊天，即使對方當前並非Teams用戶。這一功能在大多數組織中預設開啟，大大簡化了攻擊過程。受害者只需單擊一個看起來真實的微軟邀請，即可進入這個惡意、不受保護的環境。一旦進入，攻擊者不僅能輕鬆傳送網路釣魚連結和惡意軟體，還可能洩露資訊（竊取敏感數據）並進行大規模的社交工程攻擊。Bugcrowd 的高級副總裁 Julian Brownlow Davies 強調，攻擊者正在濫用「合法」的協作功能，這是企業必須接受並加以防範的現實。

專家建議與企業即時應對策略

面對這個嚴重的架構性問題，業界專家一致認為需要立即採取配置和政策層面的應對措施，而不僅僅是等待軟體補丁。

Ontinue 強烈建議各公司盡快更改其配置，建議他們僅向其明確信任的網域發送訪客邀請。在微軟解決此漏洞之前，各組織必須立即制定應對策略，禁止所有來自未知人員的B2B會議使用Teams。

ColorTokens 的首席傳道者 Agnidipta Sarkar 進一步建議，企業應配置技術控制，將Teams的B2B連接限制在預先定義的信任網域清單內。這項策略要求企業必須先發起一個嚴格的網域信任評估流程，從根本上堵住來自低安全標準外部環境的威脅滲透。這不僅關乎自身安全，更是保護所有與該企業合作夥伴的安全供應鏈的責任。