Check Point Research đã phát hiện bốn lỗ hổng CVE nghiêm trọng trong Microsoft Teams, có khả năng cho phép kẻ tấn công giả mạo các điều hành viên, thao túng tin nhắn, thay đổi thông báo và giả mạo danh tính trong các cuộc gọi video và audio. Nhóm nghiên cứu nhận thấy cả người dùng khách bên ngoài và nội gián độc hại đều có thể khai thác các lỗ hổng bảo mật này, làm suy yếu nghiêm trọng lòng tin của hơn 320 triệu người dùng hoạt động hàng tháng vào nền tảng giao tiếp kinh doanh này.

Các Phương Thức Tấn Công qua Lỗ Hổng CVE trong Microsoft Teams

Các lỗ hổng được Check Point Research khám phá đã tiết lộ nhiều vector tấn công mà kẻ xấu có thể vũ khí hóa để thực hiện hành vi giả mạo có chủ đích. Khả năng khai thác những lỗ hổng này đe dọa trực tiếp đến tính toàn vẹn của các cuộc hội thoại và danh tính trên nền tảng.

Thao Túng Tin Nhắn Không Dấu Vết

Kẻ tấn công có thể chỉnh sửa tin nhắn mà không để lại bất kỳ dấu vết nào bằng cách thao túng tham số clientmessageid. Điều này khiến nội dung độc hại xuất hiện như những thông tin liên lạc hợp pháp từ đồng nghiệp đáng tin cậy. Mục tiêu là lừa người nhận tin rằng thông điệp đến từ một nguồn đáng tin cậy, từ đó tăng khả năng thực hiện các hành động độc hại.

Giả Mạo Thông Báo và Danh Tính Người Gửi

Thêm vào đó, nhóm nghiên cứu đã xác định khả năng giả mạo thông báo tin nhắn. Kẻ tấn công có thể hiển thị danh tính người gửi sai lệch, lợi dụng sự khẩn cấp tâm lý liên quan đến các thông báo từ các nhân vật có thẩm quyền hoặc điều hành viên. Việc này đặc biệt hiệu quả trong các chiến dịch lừa đảo hoặc phát tán thông tin sai lệch.

Thay Đổi Tên Hiển Thị trong Cuộc Trò Chuyện Riêng Tư

Trong các cuộc trò chuyện riêng tư, kẻ tấn công có thể thao túng tham số chủ đề cuộc trò chuyện (conversation topic parameter) để thay đổi tên hiển thị. Hành động này đánh lừa cả hai bên về danh tính của người mà họ đang giao tiếp. Việc giả mạo danh tính này có thể dẫn đến việc tiết lộ thông tin nhạy cảm hoặc thực hiện các hành vi gian lận.

Giả Mạo Danh Tính Người Gọi trong Video và Audio

Có lẽ đáng lo ngại nhất, nghiên cứu đã chứng minh rằng các yêu cầu khởi tạo cuộc gọi có thể bị sửa đổi để giả mạo danh tính người gọi. Điều này cho phép kẻ tấn công xuất hiện dưới bất kỳ cá nhân nào được chọn trong các cuộc gọi video hoặc audio. Khả năng này mở ra cánh cửa cho các cuộc tấn công lừa đảo tinh vi, nơi kẻ tấn công có thể đóng giả người quản lý hoặc đối tác kinh doanh.

Tác Động và Rủi Ro Bảo Mật Từ Các Lỗ Hổng CVE

Những lỗ hổng CVE này tạo ra những rủi ro đáng kể cho các tổ chức hoạt động trong môi trường bị nhắm mục tiêu bởi các tác nhân cấp quốc gia và tội phạm mạng tinh vi. Khả năng giả mạo danh tính điều hành viên và thao túng thông tin trực tiếp đe dọa đến an toàn thông tin của doanh nghiệp.

Kịch Bản Giả Mạo Điều Hành Viên

Các kịch bản giả mạo điều hành viên trở nên khả thi cao khi kẻ tấn công có thể xuất hiện một cách thuyết phục như Giám đốc điều hành (CEO) hoặc Giám đốc tài chính (CFO) thông qua các thông báo giả mạo và tin nhắn bị thao túng. Điều này có thể dẫn đến các quyết định kinh doanh sai lầm hoặc rò rỉ dữ liệu nhạy cảm.

Phân Phối Mã Độc và Lừa Đảo

Các tác nhân đe dọa có thể tận dụng những lỗ hổng này để phát tán mã độc. Chúng tạo ra các tin nhắn có vẻ khẩn cấp từ các nhân vật có thẩm quyền đáng tin cậy, hướng dẫn nhân viên nhấp vào các liên kết độc hại. Phương pháp này có thể vượt qua các biện pháp bảo mật truyền thống và lây nhiễm các hệ thống nội bộ.

Tấn Công Thu Thập Thông Tin Đăng Nhập

Các cuộc tấn công thu thập thông tin đăng nhập trở nên hiệu quả hơn khi kẻ tấn công giả mạo nhân viên nội bộ, đặc biệt là các thành viên phòng tài chính. Điều này lừa nhân viên tiết lộ thông tin nhạy cảm, bao gồm mật khẩu hoặc dữ liệu tài chính, gây ra rủi ro lớn về tài chính và danh tiếng.

Chiến Dịch Thông Tin Sai Lệch

Khả năng giả mạo lịch sử tin nhắn và thao túng danh tính cuộc gọi có thể kích hoạt các chiến dịch thông tin sai lệch trong các tổ chức. Kẻ tấn công có thể lan truyền thông tin giả mạo trong các hoạt động kinh doanh quan trọng, gây ra sự hoảng loạn hoặc làm gián đoạn quy trình làm việc.

Gián Đoạn Cuộc Họp Nhạy Cảm

Kẻ tấn công cũng có thể làm gián đoạn các cuộc họp nhạy cảm bằng cách giả mạo người tham gia, gây ra sự nhầm lẫn hoặc lừa những người tham dự tiết lộ thông tin mật. Điều này đặc biệt nguy hiểm đối với các cuộc họp chiến lược hoặc liên quan đến dữ liệu độc quyền.

Quy Trình Tiết Lộ và Bản Vá Bảo Mật

Check Point Research đã tiết lộ có trách nhiệm các lỗ hổng này cho Microsoft vào ngày 23 tháng 3 năm 2024. Microsoft đã xác nhận báo cáo và cam kết điều tra hành vi được báo cáo. Thông tin chi tiết về nghiên cứu có thể được tìm thấy tại báo cáo của Check Point Research.

Lịch Trình Vá Lỗi

Công ty sau đó đã phát hành các bản vá bảo mật để khắc phục từng lỗ hổng theo các mốc thời gian khác nhau:

• Lỗ hổng chỉnh sửa tin nhắn đã được sửa vào ngày 8 tháng 5 năm 2024.
• Vấn đề thao túng tên hiển thị đã được giải quyết vào ngày 31 tháng 7 năm 2024.
• Lỗ hổng giả mạo thông báo, được theo dõi là CVE-2024-38197, đã nhận được bản vá vào ngày 13 tháng 9 năm 2024. Thông tin chi tiết về CVE này có thể được tìm thấy tại hướng dẫn cập nhật của Microsoft.
• Lỗ hổng giả mạo danh tính người gọi đã được khắc phục vào cuối tháng 10 năm 2025.

Tất cả các lỗ hổng CVE đã được khắc phục và không yêu cầu bất kỳ hành động nào từ người dùng, vì Microsoft đã triển khai các bản cập nhật cần thiết trên tất cả các nền tảng Teams.