Investigadores de ciberseguridad de Check Point han revelado detalles de cuatro fallos de seguridad en Microsoft Teams que podrían haber expuesto a los usuarios a graves ataques de suplantación de identidad e ingeniería social.
Según un informe de Check Point, las vulnerabilidades "permitían a los atacantes manipular conversaciones, suplantar la identidad de compañeros y explotar las notificaciones".
Tras su divulgación responsable en marzo de 2024, Microsoft solucionó algunos de los problemas en agosto de 2024 bajo el identificador CVE-2024-38197, con parches posteriores lanzados en septiembre de 2024 y octubre de 2025.
En resumen, estas deficiencias permiten alterar el contenido de los mensajes sin perder la etiqueta "Editado" ni la identidad del remitente, así como modificar las notificaciones entrantes para cambiar el remitente aparente. Esto permite a un atacante engañar a las víctimas para que abran mensajes maliciosos haciéndolos parecer provenientes de una fuente confiable, incluyendo altos ejecutivos.
El ataque, que afecta tanto a usuarios externos como a actores maliciosos internos, supone graves riesgos, ya que vulnera las barreras de seguridad y permite a las posibles víctimas realizar acciones no deseadas, como hacer clic en enlaces maliciosos enviados en los mensajes o compartir datos confidenciales.
Además, las vulnerabilidades también permitían cambiar los nombres que se muestran en las conversaciones de chat privadas modificando el tema de la conversación, así como modificar arbitrariamente los nombres que se muestran en las notificaciones de llamadas y durante la llamada, lo que permitía a un atacante suplantar la identidad de la persona que llama.
"En conjunto, estas vulnerabilidades demuestran cómo los atacantes pueden erosionar la confianza fundamental que hace eficaces las herramientas de colaboración, convirtiendo Teams de un facilitador empresarial en un vector de engaño", afirmó la empresa.
Microsoft ha descrito la vulnerabilidad CVE-2024-38197 (CVSS: 6.5) como un problema de suplantación de identidad de gravedad media que afecta a Teams para iOS. Esta vulnerabilidad podría permitir a un atacante alterar el nombre del remitente de un mensaje de Teams y, potencialmente, engañarlo para que revele información confidencial mediante técnicas de ingeniería social.
Estos hallazgos se producen en un contexto en el que los ciberdelincuentes están abusando de Teams de diversas maneras, incluyendo el contacto con sus objetivos y la persuasión para que otorguen acceso remoto o ejecuten software malicioso haciéndose pasar por personal de soporte.
Microsoft, en un aviso publicado el mes pasado, afirmó que "las amplias funciones de colaboración y la adopción global de Microsoft Teams lo convierten en un objetivo de alto valor tanto para ciberdelincuentes como para actores patrocinados por estados", y que sus funciones de mensajería (chat), llamadas, reuniones y compartición de pantalla mediante vídeo se utilizan como armas en diferentes etapas de la cadena de ataque.
La investigación demuestra que los ciberdelincuentes ya no necesitan infiltrarse; basta con quebrantar la confianza. Las organizaciones ahora deben proteger las creencias de las personas, no solo los datos que procesan los sistemas.
Fuente: THN