Teamsは彼らにとっても便利にできています

便利機能とその仕様と小さなバグを組み合わせると、結構なことができます。
今回の登場するアイテムはこういうラインナップです。

• Microsoft Teams タブ
• Microsoft Power Apps
• Power Automateサービスによるワークフローを設定できる権限のある正規従業員のPC
• 不十分なドメイン文字列チェック
• 自動化機能の動作するiframeの機構が親ウィンドウからなんら認証を必要とせずにトークンを入手できるという仕様のようなもの

これらを全部混ぜ合わせて電子レンジにかけると、正規従業員のPCから自由にメールを送受信できる環境が手に入ります。
メールだけじゃないです。
こんなことができるようになります。

• その従業員のメール全部の読み取りや、新規メールの送信
• その従業員のはいっているTeamsチャンネルのすべてのメッセージの読み取りや、返信
• その従業員のOneDriveのファイルの読み取りや書き込み
• その従業員のSharePointのファイルの読み取りや書き込み

これをどう使うと思いますか。
BEC（Business E-mail Compromise：ビジネスメール詐欺）をこのPCから実施すると、とてもリアルなものができそうじゃないですか？
その人の従来のすべてのメールを読み取り、じっくり文体を研究し、メールに出てくる相手を吟味し、そのPCからターゲットの人にメールすることができます。
まさにその従業員がメールしているように見えそうじゃないでしょうか。

怖いですね。
でも安心してください。
パッチはすでに提供されていますので、意識の高い活動ができている場合には、これは脅威ではありません。

参考記事（外部リンク）：Stealing tokens, emails, files and more in Microsoft Teams
through malicious tabs
medium.com/tenable-techblog/stealing-tokens-emails-files-and-more-in-microsoft-teams-through-malicious-tabs-a7e5ff07b138