Gli esperti di Check Point Research hanno individuato quattro vulnerabilità in Microsoft Teams che possono essere sfruttate per effettuare truffe finanziarie, accedere a dati aziendali o distribuire malware. I quattro bug sono stati segnalati a fine marzo. L’ultimo è stato corretto a fine ottobre, quindi sono stati divulgati i dettagli tecnici.

Descrizione delle vulnerabilità

Microsoft Teams è una delle piattaforme di comunicazione e collaborazione più utilizzate con oltre 320 milioni di utenti al mese. La versione a pagamento è inclusa in Microsoft 365 (in Europa è disponibile anche separatamente). Dopo l’addio di Skype, la versione gratuita è diventata popolare anche tra gli utenti consumer.

È quindi diventata uno dei bersagli preferiti dei cybercriminali che cercano di accedere alle comunicazioni aziendali sfruttando eventuali vulnerabilità, come quelle scoperte da Check Point Research nella versione web del servizio. La prima consentiva di modificare il messaggio inviato senza mostrare l’etichetta “Modificato”. Ciò era possibile attraverso la sostituzione dell’identificatore di un messaggio con quello del messaggio precedente.

La seconda vulnerabilità consentiva di modificare le notifiche dei messaggi, in modo da mostrare un mittente diverso da quello reale. Questo bug è stato tracciato da Microsoft con CVE-2024-38197. La terza vulnerabilità permetteva di cambiare il nome mostrato nelle conversazioni private modificando l’argomento della conversazione.

Infine, la quarta vulnerabilità permetteva di cambiare il nome visualizzato nelle notifiche delle chiamate (audio e video). Quest’ultimo bug è stato corretto a fine ottobre. Simili vulnerabilità potrebbero essere sfruttate per eseguire varie attività illecite: impersonificazione dei dirigenti, furto di dati sensibili, distribuzione di malware, furto di credenziali, truffe finanziarie e campagne di disinformazione.

Questo tipo di attacchi interessano anche altre piattaforme. Le aziende dovrebbero quindi adottare tutte le misure preventive per limitare i rischi, come la verifica dell’identità (non solo al login), l’analisi dei file condivisi e il monitoraggio dei comportamenti insoliti durante le conversazioni.