Zranitelnosti v Microsoft Teams umožňovaly útočníkům vydávat se za kolegy a měnit zprávy bez povšimnutí

Bezpečnostní výzkumníci odhalili čtveřici závažných zranitelností v komunikační platformě Microsoft Teams, které mohly útočníkům umožnit manipulaci s konverzacemi, vydávání se za jiné uživatele a šíření podvodných zpráv bez jakéhokoli viditelného varování. Tato zjištění přináší společnost Check Point ve své aktuální zprávě.

Zranitelnosti, které Microsoft částečně opravil v srpnu 2024 (CVE-2024-38197) a následně zcela v říjnu 2025, odhalují zásadní slabiny v mechanismu ověřování identity a zobrazování zpráv v aplikaci Teams. Útočníci mohli upravovat zprávy, aniž by se zobrazilo označení „Upraveno“, měnit jméno odesílatele v notifikacích, falšovat identitu volajícího během hovoru, manipulovat se jménem uživatele v soukromých chatech.

Podle výzkumníků tak bylo možné vytvořit realistické scénáře sociálního inženýrství – například zaslat škodlivý odkaz jménem výkonného ředitele nebo IT podpory, a tím přimět oběť k nechtěnému kliknutí či sdílení citlivých údajů.

Rizika se netýkají pouze externích útočníků. Popsané metody mohli využít i interní uživatelé či hosté přizvaní do konkrétních týmů. Tento fakt podkopává základní bezpečnostní hranice uvnitř organizace a činí z běžného nástroje pro spolupráci potenciální kanál pro sofistikované útoky.

Microsoft označil CVE-2024-38197 jako středně závažnou chybu typu spoofing v iOS verzi aplikace. Nicméně kombinace zranitelností ukazuje, jak snadno lze zneužít důvěru v digitální identitu k manipulaci uživatelů a eskalaci útoku.

Oded Vanunu z Check Pointu upozorňuje, že v současnosti již mnohdy není potřeba prolomit technickou obranu systému – stačí „ohnout důvěru“. Platformy jako Teams se stávají stejně kritickými jako e-mail, ale často nemají adekvátní bezpečnostní dozor.

Microsoft uvedl, že díky rozsáhlým funkcím a celosvětovému rozšíření představuje Teams atraktivní cíl jak pro kyberzločince, tak pro státem podporované aktéry. Aplikace se zneužívá v různých fázích útoků – od prvotního kontaktu, přes sociální inženýrství, až po pokusy o vzdálený přístup či nasazení malwaru.

Incident znovu potvrzuje nutnost důsledného řízení digitální identity, školení zaměstnanců v oblasti sociálního inženýrství a aplikace principu „zero trust“. Bezpečnostní týmy by měly zvážit přidání detekčních mechanismů pro anomálie v chování uživatelů i v rámci důvěryhodných nástrojů, jako je Microsoft Teams.

Zdroje: Check Point, thehackernews.com

Zdroj ilustračního obrázku: Mika Baumeister on Unsplash