Luki w Microsoft Teams umożliwiały atakującym fałszowanie tożsamości i przepisywanie czatów
Microsoft Teams, platforma komunikacyjna używana przez setki milionów ludzi na całym świecie, zawierała poważne luki w zabezpieczeniach, które mogły pozwolić atakującym podszywać się pod kadrę kierowniczą, modyfikować historię czatów i wysyłać fałszywe powiadomienia. Odkrycia te pochodzą z badania firmy Check Point Research, która zbadała, w jaki sposób zarówno zewnętrzni goście , jak i cyberprzestępcy mogliby wykorzystać opartą na zaufaniu konstrukcję Teams.
MS Teams, który dla wielu organizacji stał się czymś więcej niż tylko aplikacją do czatów, to miejsce, w którym podejmuje się decyzje, zatwierdza i wymienia poufne pliki. Według analizy Check Point, atakujący mogli manipulować rozmowami w sposób, który praktycznie nie pozostawiał śladów, utrudniając użytkownikom wykrycie manipulacji po fakcie.
Jedna z luk umożliwiała edycję wiadomości bez wyświetlania standardowego znacznika „Edytowane”. Było to możliwe, gdy atakujący ponownie wykorzystał unikatowe identyfikatory w systemie wiadomości Teams do przepisania wcześniejszych wiadomości, zmieniając kontekst dyskusji, a nawet kluczowe szczegóły w korespondencji biznesowej. Inny problem umożliwiał atakującym podszywanie się pod powiadomienia, sprawiając, że alerty wyglądały na wysyłane przez zaufanych menedżerów lub współpracowników.
Badacze odkryli również, że atakujący mógł modyfikować sposób wyświetlania nazw w prywatnych czatach, wykorzystując sposób oznaczania tematów rozmów w Teams. Obaj uczestnicy widzieli zmienioną nazwę, co wprowadzało zamieszanie lub sprawiało, że jedna ze stron myślała, że rozmawia z kimś innym. Co więcej, wyświetlana nazwa w powiadomieniach o połączeniach mogła zostać sfałszowana, co pozwalało atakującym podszywać się pod dowolną osobę podczas rozmowy głosowej lub wideo.
Firma Microsoft zajęła się tymi problemami po otrzymaniu informacji od firmy Check Point w marcu 2024 r. Luki oznaczono numerem CVE-2024-38197 , a poprawki wdrażano przez kilka miesięcy, a ostateczne poprawki ukończono pod koniec października 2025 r. Użytkownicy nie muszą podejmować żadnych działań, ponieważ aktualizacje zostały zainstalowane automatycznie.
Chociaż te luki zostały naprawione, narzędzia do współpracy stały się głównym celem ataków. Jeśli powiadomienie lub nazwa wyświetlana zostaną zmienione, albo ktoś będzie mógł podszywać się pod inną osobę, aby dołączyć do rozmowy, konsekwencje wykraczają daleko poza kwestie zaufania.
Tego typu naruszenia mogą prowadzić do poważnych strat finansowych, co niedawno miało miejsce, gdy północnokoreańscy agenci zostali nagrani, jak używając filtrów AI, podszywają się pod meksykańskich inżynierów i starają się o pracę w zachodnich firmach.
HackRead
