Los investigadores de ciberseguridad han revelado detalles de cuatro fallas de seguridad en Microsoft Teams que podrían haber expuesto a los usuarios a graves ataques de suplantación de identidad e ingeniería social.
Las vulnerabilidades «permitían a los atacantes manipular las conversaciones, hacerse pasar por colegas y aprovechar las notificaciones», dijo Check Point dijo en un informe compartido con The Hacker News.
Tras la divulgación responsable en marzo de 2024, Microsoft solucionó algunos de los problemas en agosto de 2024 con el CVE CVE-2024-38197, y los parches posteriores se lanzaron en septiembre de 2024 y octubre de 2025.
En pocas palabras, estas deficiencias permiten modificar el contenido de los mensajes sin dejar la etiqueta «Editado» y la identidad del remitente y modificar las notificaciones entrantes para cambiar el remitente aparente del mensaje, lo que permite a un atacante engañar a las víctimas para que abran mensajes maliciosos haciendo que parezcan provenir de una fuente confiable, incluidos altos ejecutivos de alto nivel.
El ataque, que abarca tanto a usuarios invitados externos como a actores malintencionados internos, plantea graves riesgos, ya que socava los límites de seguridad y permite a los posibles objetivos realizar acciones no deseadas, como hacer clic en los enlaces maliciosos enviados en los mensajes o compartir datos confidenciales.
Además de eso, las fallas también permitían cambiar los nombres mostrados en las conversaciones de chat privadas modificando el tema de la conversación, así como modificar arbitrariamente los nombres mostrados utilizados en las notificaciones de llamadas y durante la llamada, lo que permitía a un atacante falsificar la identidad de las personas que llamaban en el proceso.
«En conjunto, estas vulnerabilidades muestran cómo los atacantes pueden erosionar la confianza fundamental que hace que las herramientas de colaboración y espacio de trabajo sean eficaces, haciendo que Teams pase de ser un facilitador empresarial a convertirse en un vector de engaño», dijo la empresa de ciberseguridad dijo .
Microsoft ha descrito CVE-2024-38197 (puntuación CVSS: 6,5) como un problema de suplantación de identidad de gravedad media que afectaba a Teams para iOS, que podía permitir a un atacante modificar el nombre del remitente de un mensaje de Teams y, potencialmente, engañarlo para que revelara información confidencial mediante tácticas de ingeniería social.
Los hallazgos se producen cuando los actores de amenazas abusar La plataforma de comunicación empresarial de Microsoft de varias maneras, como acercarse a los objetivos y persuadirlos de que concedan acceso remoto o ejecuten una carga maliciosa disfrazándose de personal de soporte.
Microsoft, en un consultivo publicado el mes pasado, afirmó que «las amplias funciones de colaboración y la adopción mundial de Microsoft Teams lo convierten en un objetivo muy valioso tanto para los ciberdelincuentes como para los actores patrocinados por el estado» y que sus funciones de mensajería (chat), llamadas y reuniones y para compartir pantalla basadas en vídeos se utilizan como armas en diferentes etapas de la cadena de ataque.
«Estas vulnerabilidades afectan al corazón de la confianza digital», dijo Oded Vanunu, jefe de investigación de vulnerabilidades de productos de Check Point, a The Hacker News en un comunicado. «Las plataformas de colaboración como Teams son ahora tan importantes como el correo electrónico e igual de expuestas».
«Nuestra investigación muestra que los actores de amenazas ya no necesitan irrumpir; solo tienen que doblegar la confianza. Las organizaciones ahora deben proteger lo que la gente cree, no solo lo que los sistemas procesan. Ver ya no es creer, sino verificar».