Los investigadores de ciberseguridad han revelado detalles de cuatro fallas de seguridad en Microsoft Teams que podrían tener expuesto a los usuarios a graves ataques de suplantación de identidad y de ingeniería social.
Las vulnerabilidades «permitieron a los atacantes manipular conversaciones, hacerse acontecer por colegas y explotar notificaciones», dijo Check Point en un noticia compartido con The Hacker News.
Tras la divulgación responsable en marzo de 2024, Microsoft solucionó algunos de los problemas en agosto de 2024 con el identificador CVE-2024-38197, y los parches posteriores se implementaron en septiembre de 2024 y octubre de 2025.
En pocas palabras, estas deficiencias hacen posible alterar el contenido del mensaje sin entregarse la formalidad «Editado» y la identidad del remitente y modificar las notificaciones entrantes para cambiar el remitente llamativo del mensaje, lo que permite a un atacante engañar a las víctimas para que abran mensajes maliciosos haciéndolos parecer como si vinieran de una fuente confiable, incluidos ejecutivos de stop perfil de la C-suite.
El ataque, que albarca tanto a usuarios invitados externos como a actores maliciosos internos, plantea graves riesgos, ya que socava los límites de seguridad y permite a posibles objetivos realizar acciones no deseadas, como hacer clic en enlaces maliciosos enviados en los mensajes o compartir datos confidenciales.
Por otra parte de eso, las fallas igualmente hicieron posible cambiar los nombres para mostrar en conversaciones de chat privadas modificando el tema de la conversación, así como modificar arbitrariamente los nombres para mostrar utilizados en las notificaciones de llamadas y durante la llamamiento, lo que permitió a un atacante falsificar las identidades de las personas que llaman en el proceso.
«Juntas, estas vulnerabilidades muestran cómo los atacantes pueden deteriorar la confianza fundamental que hace que las herramientas del espacio de trabajo de colaboración sean efectivas, convirtiendo a Teams de un habilitador de negocios a un vector de simulación», dijo la compañía de ciberseguridad.
Microsoft ha descrito CVE-2024-38197 (puntuación CVSS: 6,5) como un problema de suplantación de identidad de trascendencia media que afecta a Teams para iOS, lo que podría permitir a un atacante alterar el nombre del remitente de un mensaje de Teams y potencialmente engañarlo para que revele información confidencial mediante estrategias de ingeniería social.
Los hallazgos se producen cuando los actores de amenazas están abusando de la plataforma de comunicación empresarial de Microsoft de varias maneras, incluido acercarse a los objetivos y persuadirlos para que otorguen acercamiento remoto o ejecuten una carga útil maliciosa bajo la apariencia de personal de soporte.
Microsoft, en un aviso publicado el mes pasado, dijo que «las amplias funciones de colaboración y la prohijamiento integral de Microsoft Teams lo convierten en un objetivo de stop valía tanto para los ciberdelincuentes como para los actores patrocinados por el estado» y que sus funciones de correo (chat), llamadas y reuniones, y de uso compartido de pantalla basadas en videos, se utilizan como armas en diferentes etapas de la prisión de ataque.
«Estas vulnerabilidades afectan el corazón de la confianza digital», dijo a The Hacker News Oded Vanunu, presidente de investigación de vulnerabilidades de productos en Check Point, en un comunicado. «Las plataformas de colaboración como Teams son ahora tan críticas como el correo electrónico y están igual de expuestas».
«Nuestra investigación muestra que los actores de amenazas ya no necesitan irrumpir; solo necesitan doblegar la confianza. Las organizaciones ahora deben afianzar lo que la clan cree, no solo lo que procesan los sistemas. Ver ya no es creer, sino revisar».
