A Check Point Research concorda com quatro falhas críticas no Teams, software da MIcrosoft utilizado por mais de 320 milhões de pessoas em todo o mundo. As falhas permitem manipular notificações de mensagens, editar mensagens sem deixar faixas, alterar nomes de exibição por meio de tópicos de conversas em chats privados e falsificar a identidade do chamador em chamadas de vídeo ou áudio. A equipe divulgou todas essas vulnerabilidades à Microsoft em 23 de março de 2024 e, no final de outubro, todas elas já corrigidas.
O cenário de ameaças em constante evolução
Como possível consequências de todos esses problemas poderiam ter sido enormes. De acordo com o relatório completo da Check Point. Segundo o relatório, os hackers poderiam editar mensagens do Teams sem exibir o rótulo “editado”, que serve para informar a todos quando uma mensagem é alterada. Isso permite enganar usuários ou falsificar o histórico de mensagens. Eles também poderiam alterar as notificações de mensagens, fazendo com que parecessem ser de outro remetente. Isso poderia ser facilmente usado para tentativas de phishing indetectáveis.
Atores mal-intencionados também podem editar os nomes de exibição em chats privados.
Eles puderam até editar a identidade de quem ligava, tanto em chamadas de vídeo quanto de áudio.
Em conjunto, segundo o relatório, essas vulnerabilidades demonstradas como os atacantes podem corroer a confiança fundamental que torna as ferramentas de colaboração em espaços de trabalho eficazes, transformando as equipes de um facilitador de negócios em um vetor de engano.
A Microsoft, segundo a Check Point, já havia divulgado a vulnerabilidade CVE-2024-38197 como um problema de falsificação de identidade de gravidade média no Microsoft Teams para iOS, observando que versões anteriores do cliente não validavam corretamente os campos do encaminhamento da mensagem e, portanto, poderiam representar falsamente a identidade do usuário em casos específicos: “Nossa pesquisa amplia essas descobertas, demonstrando uma via de exploração mais impactante: desenvolvemos uma prova de conceito mostrando como um bot ou webhook malicioso poderia criar payloads com atributos “de” falsificados que se apresentassem de forma convincente como usuários confidenciais na interface do Teams. Essa amplificação destaca não apenas o risco prático de falsificação de identidade direcionada, mas também a necessidade mais ampla de controles de validação mais rigorosos em todos os clientes do Teams”.
