[English]Nachfrage an die Administratoren unter der Leserschaft, ob der hier benannte Effekt noch bei jemand anderem auftritt. Ein Administrator hat mich kontaktiert, weil er seit Tagen vermeintlich schadhafte Benachrichtigungen aus Teams gemeldet bekommt. Im Einsatz ist Exchange Online und zudem die ZAP-Funktion des Defender aus Microsoft Office 365.
Anzeige
Ein Administrator hat mich heute per Mail kontaktiert, weil er unter vermeintlichen Fehlalarmen in seiner Umgebung leidet, die schadhafte Teams-Benachrichtigungen betreffen. Hierzu schrieb mir der Betreffende folgendes:
Betreff: Vermeintlich schadhafte Benachrichtigungen aus Teams in EXonline durch Defender-ZAP
Hallo Herr Born,
wir erhalten gerade bei uns sehr sporadische Benachrichtigungen via Email, das schadhafte Mails erkannt und via ZAP entfernt wurden.
Es handelt sich hier ausschließlich um Emails aus Teams zur Informationen für neue Gruppenmitgliedschaften, etc. handelt.
Ist hier evtl. bei MS intern ein Security-Feature zu scharf eingestellt worden, aufgrund der Bedrohungen in Teams?
Der Betroffene verwies dabei auf meinen Blog-Beitrag Warnung Microsofts: Teams-Nutzer im Fokus russischer Angreifer (Midnight Blizzard) und hat mir nachfolgenden Screenshot zukommen lassen, der einige der Emails und Defender-Informationen, die betroffen sind, zeigen soll.
Kurz zur Begriffserklärung, mit Defender-ZAP ist wohl die Funktion Zero-Hour Auto Purge gemeint, die in bestimmten Plänen unter Microsoft Defender for Office 365 bereitsteht. Diese führt eine automatische Löschung für E-Mail-Nachrichten, aber auch in Microsoft Teams für Benachrichtigungen durch. Die Funktion wird in diesem Microsoft-Supportbeitrag erklärt. Mit EXonline dürfte wohl Exchange Online gemeint sein. Der Betroffene fragt, ob mir oder einem Blog-Leser dazu bereits etwas Ähnliches bekannt ist. Mir ist noch nichts untergekommen, aber ich stelle die Frage mal hier im Blog ein.
Anzeige
Anzeige
Ja, bei mir das gleiche Verhalten. MDO erkennt eine png aus der Microsoft Email aus Malicious. Hab ein paar dieser Mail an MS gemeldet.
Nicht direkt aber ab und an erhalten wir Mails die dann mit der ZAP Funktion bereinigt wurden, manchmal wurde auch eine URL nach der Zustellung so bereinigt. Mit Teams hatten wir das bisher nicht.
Die ZAP-Funktion für MS Teams hat kürzlich den Status GA (generally available) erreicht. Seit Ende Juli wird diese Schutzfunktion in den Tenants ausgerollt und ist per se aktiv. Siehe M365 Defender Portal -> Einstellungen -> E-Mail & Zusammenarbeit -> Microsoft Teams-Schutz.
Ob allerdings diese als effektive Schutzmaßnahme konkret bei Midnight Blizzard zur Geltung kommen kann, ist unklar, zumal MS diese nicht in den Empfehlungen des Analystenberichts führt. Anfrage läuft.