Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về bốn lỗ hổng bảo mật trong Microsoft Teams có thể khiến người dùng đối mặt với các cuộc tấn công giả mạo và social engineering nghiêm trọng.
Các lỗ hổng này "cho phép kẻ tấn công thao túng các cuộc trò chuyện, giả mạo đồng nghiệp và khai thác các thông báo," Check Point cho biết trong một báo cáo chia sẻ với The Hacker News.
Sau khi tiết lộ có trách nhiệm vào tháng 3 năm 2024, một số vấn đề đã được Microsoft khắc phục vào tháng 8 năm 2024 dưới dạng CVE CVE-2024-38197, với các bản vá tiếp theo được triển khai vào tháng 9 năm 2024 và tháng 10 năm 2025.
Tóm lại, những thiếu sót này cho phép thay đổi nội dung tin nhắn mà không để lại nhãn "Edited" và danh tính người gửi, cũng như sửa đổi thông báo đến để thay đổi người gửi tin nhắn hiển thị, từ đó cho phép kẻ tấn công lừa nạn nhân mở các tin nhắn độc hại bằng cách khiến chúng xuất hiện như thể đến từ một nguồn đáng tin cậy, bao gồm cả các giám đốc điều hành cấp cao (C-suite executives).
Cuộc tấn công này, nhắm vào cả người dùng khách bên ngoài và các tác nhân độc hại nội bộ, tiềm ẩn những rủi ro nghiêm trọng, vì nó phá vỡ các ranh giới bảo mật và cho phép các mục tiêu tiềm năng thực hiện các hành động không mong muốn, chẳng hạn như nhấp vào các liên kết độc hại được gửi trong tin nhắn hoặc chia sẻ dữ liệu nhạy cảm.
Thêm vào đó, các lỗ hổng cũng cho phép thay đổi tên hiển thị trong các cuộc trò chuyện riêng tư bằng cách sửa đổi chủ đề cuộc trò chuyện, cũng như tùy ý sửa đổi tên hiển thị được sử dụng trong thông báo cuộc gọi và trong khi gọi, cho phép kẻ tấn công giả mạo danh tính người gọi trong quá trình này.
"Tổng hợp lại, những lỗ hổng này cho thấy cách kẻ tấn công có thể làm xói mòn lòng tin cơ bản khiến các công cụ không gian làm việc cộng tác trở nên hiệu quả, biến Teams từ một công cụ hỗ trợ kinh doanh thành một vector lừa đảo," công ty an ninh mạng cho biết.
Microsoft đã mô tả CVE-2024-38197 (điểm CVSS: 6.5) là một vấn đề spoofing mức độ trung bình ảnh hưởng đến Teams cho iOS, có thể cho phép kẻ tấn công thay đổi tên người gửi tin nhắn Teams và có khả năng lừa họ tiết lộ thông tin nhạy cảm thông qua các mưu đồ social engineering.
Những phát hiện này được đưa ra khi các threat actors đang lạm dụng nền tảng giao tiếp doanh nghiệp của Microsoft bằng nhiều cách khác nhau, bao gồm tiếp cận mục tiêu và thuyết phục họ cấp quyền truy cập từ xa hoặc chạy một payload độc hại dưới vỏ bọc nhân viên hỗ trợ.
Microsoft, trong một tư vấn phát hành vào tháng trước, cho biết "các tính năng cộng tác mở rộng và việc Microsoft Teams được áp dụng rộng rãi trên toàn cầu khiến nó trở thành mục tiêu có giá trị cao cho cả tội phạm mạng và các threat actors do nhà nước bảo trợ" và rằng các tính năng nhắn tin (chat), cuộc gọi, cuộc họp và chia sẻ màn hình dựa trên video của nó đang bị vũ khí hóa ở các giai đoạn khác nhau của chuỗi tấn công.
"Những lỗ hổng này đã tấn công vào trọng tâm của lòng tin kỹ thuật số," Oded Vanunu, người đứng đầu bộ phận nghiên cứu lỗ hổng sản phẩm tại Check Point, nói với The Hacker News trong một tuyên bố. "Các nền tảng cộng tác như Teams hiện nay quan trọng như email và cũng dễ bị tấn công như vậy."
"Nghiên cứu của chúng tôi cho thấy rằng các threat actors không còn cần phải đột nhập nữa; họ chỉ cần bẻ cong lòng tin. Các tổ chức giờ đây phải bảo vệ những gì mọi người tin tưởng, chứ không chỉ những gì hệ thống xử lý. Nhìn thấy không còn là tin tưởng nữa, mà là xác minh."
