Check Point Research ha scoperto diverse vulnerabilità in Microsoft Teams che potrebbero consentire agli aggressori di impersonare dirigenti, manipolare messaggi e falsificare notifiche.

Con oltre 320 milioni di utenti attivi al mese, Microsoft Teams è diventato la spina dorsale della comunicazione moderna sul posto di lavoro. Dalle riunioni del consiglio di amministrazione alle chat individuali, alimenta le interazioni quotidiane di aziende, piccole imprese e governi in tutto il mondo. Le ultime scoperte di Check Point Research mostrano come gli aggressori possano stravolgere proprio quei meccanismi di fiducia che rendono Teams efficace, trasformando la collaborazione in un vettore di attacco.

L'ascesa della collaborazione come superficie di attacco

Negli ultimi dieci anni, gli aggressori hanno preso di mira senza sosta la posta elettronica, sfruttando il suo ruolo di strumento di comunicazione aziendale predefinito. Oggi assistiamo all'applicazione dello stesso copione alle app di collaborazione. Piattaforme come Microsoft Teams, Slack e Zoom non sono solo strumenti che favoriscono la produttività, ma stanno diventando infrastrutture aziendali fondamentali.

Questo cambiamento ha attirato l'attenzione di sofisticati autori di minacce. I gruppi APT (Advanced Persistent Threat) e i criminali informatici motivati da ragioni finanziarie riconoscono che, se riescono a manipolare ciò che le persone vedono e credono all'interno di queste piattaforme, possono aggirare le difese tradizionali. Il social engineering prospera in ambienti di fiducia e le app di collaborazione si basano proprio sulla fiducia.

Le vulnerabilità scoperte in Microsoft Teams non sono isolate, ma rappresentano una tendenza più ampia: gli aggressori sfruttano le supposizioni che gli utenti fanno quando comunicano attraverso canali familiari e affidabili.

Cosa è stato scoperto

Check Point Research ha condotto un'analisi approfondita di Microsoft Teams, concentrandosi sia sugli ospiti esterni che sugli insider malintenzionati. I risultati sono stati sorprendenti: molteplici vulnerabilità consentivano agli attaccanti di manipolare le conversazioni, impersonare colleghi e sfruttare le notifiche.

Modifica invisibile dei messaggi

Riutilizzando gli identificatori univoci nel sistema di messaggistica di Teams, gli attaccanti potrebbero alterare il contenuto dei messaggi inviati in precedenza senza attivare l'etichetta standard “Modificato”. Il risultato: una riscrittura silenziosa della cronologia. Le conversazioni sensibili potrebbero essere modificate a posteriori, minando la fiducia nei registri e nelle decisioni.

Notifiche contraffatte



Le notifiche, sia su dispositivi mobili che desktop, sono progettate per catturare immediatamente l'attenzione. Check Point Research ha scoperto che gli attaccanti potevano manipolare i campi delle notifiche in modo che un avviso sembrasse provenire da un dirigente o un collega di fiducia.

Modifica dei nomi visualizzati tramite argomenti di conversazione nelle chat private

È stata individuata una vulnerabilità che consente a un malintenzionato di modificare il nome visualizzato nelle conversazioni private, modificando l'argomento della conversazione. Entrambi i partecipanti vedono l'argomento modificato come nome della conversazione, il che potrebbe fuorviarli sul contesto della conversazione.

Identità del chiamante falsificata nelle chiamate video/audio

È stato scoperto che il nome visualizzato nelle notifiche delle chiamate (e successivamente durante la chiamata stessa) poteva essere modificato arbitrariamente attraverso specifiche manipolazioni delle richieste di avvio delle chiamate. Questa vulnerabilità consente di falsificare l'identità del chiamante, presentando al destinatario della chiamata un nome a sua scelta.

Nonostante Microsoft abbia aggiornato Teams per correggere queste vulnerabilità, senza richiedere alcuna azione da parte degli utenti, nel complesso, queste colpiscono il cuore della fiducia digitale. I rischi vanno ben oltre il semplice fastidio: consentono l'usurpazione di identità di dirigenti, frodi finanziarie, diffusione di malware, campagne di disinformazione e interruzione di comunicazioni sensibili.

Risoluzione del problema

Check Point Research ha divulgato in modo responsabile le vulnerabilità a Microsoft il 23 marzo 2024, che le ha poi etichettate come CVE-2024-38197. Microsoft ha indagato sui problemi e ha implementato una serie di correzioni nel corso del 2024, con la correzione finale per le chiamate video e audio che ha avuto luogo alla fine di ottobre 2025.