Investigadores de ciberseguridad de Check Point han revelado detalles de
cuatro fallos de seguridad en Microsoft Teams que podrían haber expuesto a los
usuarios a graves ataques de suplantación de identidad e ingeniería social.
Según un
informe de Check Point, las vulnerabilidades
«permitían a los atacantes manipular conversaciones, suplantar la identidad
de compañeros y explotar las notificaciones».
Tras su divulgación responsable en marzo de 2024, Microsoft solucionó
algunos de los problemas en agosto de 2024 bajo el identificador
CVE-2024-38197, con parches posteriores lanzados en septiembre de 2024 y
octubre de 2025.
En resumen, estas deficiencias permiten alterar el contenido de los mensajes
sin perder la etiqueta «Editado» ni la identidad del remitente, así como
modificar las notificaciones entrantes para cambiar el remitente aparente.
Esto permite a un atacante engañar a las víctimas para que abran mensajes
maliciosos haciéndolos parecer provenientes de una fuente confiable,
incluyendo altos ejecutivos.
El ataque, que afecta tanto a usuarios externos como a actores maliciosos
internos,
supone graves riesgos, ya que vulnera las barreras de seguridad y permite a
las posibles víctimas realizar acciones no deseadas, como hacer clic en
enlaces maliciosos enviados en los mensajes o compartir datos confidenciales.
Además, las vulnerabilidades también permitían cambiar los nombres que se
muestran en las conversaciones de chat privadas modificando el tema de la
conversación, así como modificar arbitrariamente los nombres que se muestran
en las notificaciones de llamadas y durante la llamada, lo que permitía a un
atacante suplantar la identidad de la persona que llama.
«En conjunto, estas vulnerabilidades demuestran cómo los atacantes pueden
erosionar la confianza fundamental que hace eficaces las herramientas de
colaboración, convirtiendo Teams de un facilitador empresarial en un vector
de engaño»,
afirmó la empresa.
Microsoft ha descrito la vulnerabilidad
CVE-2024-38197
(CVSS: 6.5) como un problema de suplantación de identidad de gravedad media
que afecta a Teams para iOS. Esta vulnerabilidad podría permitir a un
atacante alterar el nombre del remitente de un mensaje de Teams y,
potencialmente, engañarlo para que revele información confidencial mediante
técnicas de ingeniería social.
Estos hallazgos se producen en un contexto en el que los ciberdelincuentes
están abusando de Teams de diversas maneras, incluyendo el contacto con sus objetivos y la
persuasión para que otorguen acceso remoto o ejecuten software malicioso
haciéndose pasar por personal de soporte.
Microsoft, en un
aviso publicado el mes pasado, afirmó que
«las amplias funciones de colaboración y la adopción global de Microsoft
Teams lo convierten en un objetivo de alto valor tanto para
ciberdelincuentes como para actores patrocinados por estados», y que sus funciones de mensajería (chat), llamadas, reuniones y
compartición de pantalla mediante vídeo se utilizan como armas en diferentes
etapas de la cadena de ataque.
La investigación demuestra que los ciberdelincuentes ya no necesitan
infiltrarse; basta con quebrantar la confianza. Las organizaciones ahora deben
proteger las creencias de las personas, no solo los datos que procesan los
sistemas.
Fuente:
THN