Исследователи кибербезопасности из Check Point Research обнаружили четыре критические уязвимости в Microsoft Teams, которые могли позволить злоумышленникам выдавать себя за руководителей, манипулировать сообщениями, изменять уведомления и подделывать идентификаторы во время видео- и аудиозвонков. Эти фундаментальные проблемы подрывали доверие, которое 320 миллионов ежемесячных активных пользователей оказывают платформе для ежедневных деловых коммуникаций.
Детали уязвимости
Исследовательская группа установила, что как внешние гостевые пользователи, так и внутренние злоумышленники могли эксплуатировать эти уязвимости безопасности. Наиболее значимой из обнаруженных проблем стала CVE-2024-38197 - уязвимость подмены и манипулирования уведомлениями, затрагивающая Microsoft Teams для веб-платформы, iOS и Android с оценкой CVSS 6.5 (средний уровень). Недостаточная проверка входных данных позволяла атакующим подделывать идентификацию отправителя сообщений и изменять уведомления.
Механизмы эксплуатации затрагивали ключевые функции платформы. Злоумышленники могли редактировать сообщения без оставления следов путем манипуляции параметром clientmessageid, в результате чего вредоносный контент представлялся как законные коммуникации от доверенных коллег. Также исследователи выявили возможность подмены уведомлений о сообщениях с фальсификацией идентичности отправителя, что эксплуатировало психологическую срочность, ассоциированную с сообщениями от авторитетных фигур или руководителей.
В частных чат-беседах атакующие могли манипулировать параметром темы разговора для изменения отображаемых имен, вводя обе стороны в заблуждение относительно того, с кем они общаются. Наиболее тревожным аспектом стало доказательство исследователей, что запросы на инициацию звонков могут быть модифицированы для подделки идентичности звонящего, позволяя злоумышленникам представляться любым выбранным лицом во время видео- или аудиозвонков.
Эти уязвимости создавали значительные риски для организаций, работающих в условиях угроз со стороны государственных акторов и сложных киберпреступников. Сценарии атак с имитацией руководителей становились высоковероятными, когда злоумышленники могли убедительно появляться как генеральные директора или финансовые директора через поддельные уведомления и манипулируемые сообщения.
Угрозовые акторы могли использовать эти недостатки для доставки вредоносного программного обеспечения, создавая сообщения, выглядящие срочными, от доверенных авторитетных фигур с указаниями сотрудникам переходить по вредоносным ссылкам. Атаки по сбору учетных данных становились более эффективными, когда злоумышленники выдавали себя за внутренний персонал, особенно сотрудников финансовых отделов, чтобы обманом заставить работников раскрывать конфиденциальную информацию.
Способность подделывать историю сообщений и манипулировать идентификаторами звонков могла позволить проводить кампании дезинформации внутри организаций, потенциально распространяя ложную информацию во время критических бизнес-операций. Атакующие также могли нарушать конфиденциальные брифинги, выдавая себя за участников, вызывая путаницу или обманом вынуждая присутствующих раскрывать классифицированную информацию.
Check Point Research ответственно раскрыли уязвимости Microsoft 23 марта 2024 года. Компания признала отчет и подтвердила, что расследует сообщенное поведение. Впоследствии Microsoft выпустила исправления для каждой уязвимости в разные сроки: недостаток редактирования сообщений был исправлен 8 мая 2024 года; проблема манипуляции с отображаемыми именами была решена 31 июля 2024 года; уязвимость подмены уведомлений, отслеживаемая как CVE-2024-38197, получила исправление 13 сентября 2024 года; а недостаток подделки идентичности звонящего был устранен к концу октября 2024 года.
Все уязвимости были устранены, и от пользователей не требуется никаких действий, поскольку Microsoft развернула необходимые обновления на всех платформах Teams. Это очередной пример того, как даже в зрелых корпоративных продуктах могут сохраняться фундаментальные проблемы безопасности, требующие постоянной бдительности как со стороны поставщиков, так и со стороны пользователей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2024-38197
- https://research.checkpoint.com/2025/microsoft-teams-impersonation-and-spoofing-vulnerabilities-exposed/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38197
