Cybersecurity-onderzoekers hebben details onthuld van vier beveiligingsfouten in Microsoft Teams die gebruikers hadden kunnen blootstellen aan ernstige nabootsing van identiteit en social engineering-aanvallen.
Door de kwetsbaarheden “konden aanvallers gesprekken manipuleren, zich voordoen als collega’s en meldingen misbruiken”, aldus Check Point in een rapport gedeeld met The Hacker News.
Na een verantwoorde openbaarmaking in maart 2024 werden sommige problemen in augustus 2024 door Microsoft aangepakt onder de CVE-identificatiecode CVE-2024-38197, waarna patches in september 2024 en oktober 2025 werden uitgerold.
In een notendop maken deze tekortkomingen het mogelijk om de inhoud van berichten te wijzigen zonder het label ‘Bewerkt’ en de identiteit van de afzender te verlaten, en om inkomende meldingen te wijzigen om de schijnbare afzender van het bericht te wijzigen, waardoor een aanvaller slachtoffers kan misleiden om kwaadaardige berichten te openen door ze te laten lijken alsof ze afkomstig zijn van een vertrouwde bron, waaronder spraakmakende leidinggevenden uit de C-suite.
De aanval, die zowel externe gastgebruikers als interne kwaadwillige actoren treft, brengt ernstige risico’s met zich mee, omdat het de veiligheidsgrenzen ondermijnt en potentiële doelwitten in staat stelt onbedoelde acties uit te voeren, zoals het klikken op kwaadaardige links die in de berichten worden verzonden of het delen van gevoelige gegevens.
Bovendien maakten de fouten het ook mogelijk om de weergavenamen in privéchatgesprekken te wijzigen door het gespreksonderwerp aan te passen, en om willekeurig weergavenamen te wijzigen die worden gebruikt in oproepmeldingen en tijdens het gesprek, waardoor een aanvaller de identiteit van de beller kon vervalsen in het proces.
“Samen laten deze kwetsbaarheden zien hoe aanvallers het fundamentele vertrouwen kunnen ondermijnen dat tools voor samenwerkingswerkruimten effectief maakt, waardoor Teams van een zakelijke enabler verandert in een vector voor misleiding”, aldus het cyberbeveiligingsbedrijf.
Microsoft heeft CVE-2024-38197 (CVSS-score: 6,5) beschreven als een spoofing-probleem van gemiddelde ernst met gevolgen voor Teams voor iOS, waardoor een aanvaller de naam van de afzender van een Teams-bericht kan wijzigen en hem mogelijk kan misleiden om gevoelige informatie vrij te geven via social engineering-trucs.
De bevindingen komen omdat bedreigingsactoren op verschillende manieren misbruik maken van het zakelijke communicatieplatform van Microsoft, waaronder het benaderen van doelen en het overtuigen ervan om externe toegang te verlenen of een kwaadaardige lading uit te voeren onder het mom van ondersteunend personeel.
Microsoft zei in een vorige maand uitgebracht advies dat de “uitgebreide samenwerkingsfuncties en de wereldwijde adoptie van Microsoft Teams het tot een waardevol doelwit maken voor zowel cybercriminelen als door de staat gesponsorde actoren” en dat de berichtenuitwisseling (chat), oproepen en vergaderingen en op video gebaseerde functies voor het delen van schermen in verschillende fasen van de aanvalsketen worden ingezet.
“Deze kwetsbaarheden raken de kern van digitaal vertrouwen”, zegt Oded Vanunu, hoofd productkwetsbaarheidsonderzoek bij Check Point, in een verklaring tegen The Hacker News. “Samenwerkingsplatforms zoals Teams zijn nu net zo belangrijk als e-mail en net zo zichtbaar.”
“Ons onderzoek toont aan dat dreigingsactoren niet meer hoeven in te breken; ze hoeven alleen maar het vertrouwen te buigen. Organisaties moeten nu veiligstellen wat mensen geloven, niet alleen wat systemen verwerken. Zien is niet meer geloven, verificatie wel.”
