Ranjivosti u Microsoft Teamsu

Sadržaj
‍
Sigurnosni istraživači otkrili su četiri sigurnosna propusta u Microsoft Teamsu koji napadačima omogućuju lažno prikazivanje pošiljatelja, izmjenu poruka bez vidljivog „Edited” oznake i manipulaciju obavijestima, što otvara prostor za učinkovitu impersonaciju i socijalni inženjering. Dio problema identificiran je i zakrpan pod CVE-2024-38197, a Microsoft je objavio savjete i ažuriranja za smanjenje rizika.

Detalji
‍
Istraživanje koje su podijelili Check Point i mediji pokazuje da su četiri međusobno povezane slabosti u Teamsu omogućavale napadaču da stekne povjerenje digitalnih razgovora na više načina. Prvo, napadač je mogao izmijeniti sadržaj poruke tako da izmjena nije nužno bila označena kao uređivanje, što znači da žrtva može vjerovati lažnom sadržaju koji izgleda kao da ga je poslao kolega. Drugo, moguće je bila manipulacija obavijestima i prikazanim imenima u privatnim razgovorima i u pozivima, pa je napadač mogao napraviti da obavijest izgleda kao da dolazi od nekog drugog (npr. člana uprave) i tako navesti korisnika da klikne na zlonamjernu poveznicu ili podijeli osjetljive informacije. Treće, problemi su pokrivali i scenarije s gostujućim korisnicima i unutar organizacije, što znači da je napad mogao doći i izvana i iznutra. Četvrto, napadi su mogli uključivati i zloupotrebu teme konverzacije da bi se promijenila vidljiva imena u razgovoru i u pozivima, tehnika koja dodatno pojačava dojam legitimnosti lažnih poruka.
‍
Jedan od identificiranih i javno označenih problema nosi oznaku CVE-2024-38197, to je konkretan zapis koji povezuje ranjivost s Microsoftovim advisoryjem i s prvom rundi zakrpa koje su uvedene u 2024. godini, a daljnja ažuriranja su se širili kroz 2024. i 2025. kako su dodatne ispravke implementirane. Microsoft u svom savjetu ističe da su funkcije suradnje i velika razina primjene Teamsa razlog zašto su komunikacijske platforme postale atraktivna meta napadača.
‍
Posljedice su praktične i opasne, jer napadi ciljaju na povjerenje, korisnik može bez sumnje otvoriti poveznicu, preuzeti datoteku ili odobriti udaljenu pomoć misleći da to traži kolega ili nadređeni. U kombinaciji s drugim tehnikama društvenog inženjeringa ovo može dovesti do krađe vjerodajnica, instalacije malvera ili kompromitacije unutarnjih sustava. Check Point upozorava da takve ranjivosti “nagrizaju temeljno povjerenje” u alate za suradnju i poziva organizacije da ne tretiraju prikaze poruka i obavijesti kao nepobitan dokaz autentičnosti bez dodatne provjere.

Preporuka
‍
• Ažurirajte: odmah instalirajte sve službene sigurnosne nadogradnje Teams klijenta i serverskih komponenti
• Isključite ili ograničite rizične funkcionalnosti: dok ne potvrdite da je problem zakrpan, onemogućite automatske funkcije koje dopuštaju renderiranje neprovjerenog HTML/obavijesti ili instalaciju nezavisnih dodataka
• Pojačajte provjere identiteta poruka: u kritičnim scenarijima (financijske naredbe, promjene u procedurama, zahtjevi za pristup) tražite dodatnu potvrdu izvan Teamsa
• Revizija ekstenzija i integracija: dozvoljavajte samo verificirane i poslovno odobrene aplikacije
• Monitoring i forenzika: pojačajte nadzor (logs, SIEM) na aktivnostima Teamsa i mrežnom prometu; ako sumnjate na kompromitaciju, izvedite forenzičku analizu endpointa i sesija te resetirajte kompromitirane vjerodajnice

Reference
‍
• https://www.microsoft.com/en-us/security/blog/2025/10/07/disrupting-threats-targeting-microsoft-teams/
• https://thehackernews.com/2025/11/microsoft-teams-bugs-let-attackers.html
• https://nvd.nist.gov/vuln/detail/cve-2024-38197

‍