Check Point deckt Schwachstellen in Microsoft Teams auf

Check Point Software Technologies GmbH Check Point Software Technologies GmbH   |
  • Plattform-Sicherheit
  • Einsteiger
Check Point deckt Schwachstellen in Microsoft Teams auf IT-Sicherheit

Check Point deckt Schwachstellen in Microsoft Teams auf.

Die Sicherheitsforscher von Check Point fanden mehrere Sicherheitslücken bei Microsoft Teams, die es Angreifern ermöglichten, Unterhaltungen zu manipulieren, sich als Kollegen auszugeben und Benachrichtigungen auszunutzen.

Zusammenfassung (TL; DR):

  • Die Sicherheitsforscher von Check Point fanden mehrere Sicherheitslücken bei Microsoft Teams
  • Angreifer bearbeiten unbemerkt Nachrichten, fälschen Benachrichtigungen und täuschen Anruferidentitäten vor
  • Microsoft hat die spezifischen Schwachstellen in Teams gepatcht, doch CPRs Untersuchung zeigt, dass es nicht nur um eine Plattform geht

Check Point Research hat Schwachstellen in Microsoft Teams aufgedeckt, die Angreifern eine große Bandbreite an gefährlichen Betrugsmaschen und Imitationstechniken ermöglichen. In einem aktuellen Forschungsbericht zeigen die IT-Forensiker von Check Point wie Angreifer unbemerkt Nachrichten bearbeiten, Benachrichtigungen fälschen, Anruferidentitäten vortäuschen und sich als Führungskräfte in dem bekannten Kollaborations-Tool ausgeben können.

Check Point Research meldete die Schwachstellen am 23. März 2024 an Microsoft, das sie daraufhin als CVE-2024-38197 bezeichnete. Microsoft untersuchte die Probleme und führte im Laufe des Jahres 2024 eine Reihe von Korrekturen ein.

Forschungsinitiative offenbarte gravierende Sicherheitslücken bei Microsoft Teams

Check Point hat jüngst vermehrt beobachtet, dass Angreifer zunehmend Kollaborationsplattformen und Kommunikationstools für Spionage- und Datenexfiltration ins Visier nehmen. Die Attacken sind vielfältig und reichen von APT-Operationen über Lieferketten-Angriffe und Social-Engineering-Kampagnen bis hin zu Business Email Compromise (BEC). Diese Bedrohungslage hat CPR zum Anlass für eine hauseigene Forschungsinitiative genommen und potenzielle Sicherheitslücken in weit verbreiteten Workspace-Tools gesucht. Im Rahmen dieser umfassenden Analyse wurde auch Microsoft Teams untersucht.

CPR hat sich bei der Untersuchung von Teams auf zwei potenzielle Angriffswinkel fokussiert: externe Gäste und böswillige Insider. Die Ergebnisse waren alarmierend, denn die Forscher fanden mehrere Schwachstellen, die es Angreifern ermöglichten, Unterhaltungen zu manipulieren, sich als Kollegen auszugeben und Benachrichtigungen auszunutzen.

Folgende Gefahrenquellen hat CPR ausfindig gemacht:

  • Unsichtbare Bearbeitung von Nachrichten: Durch die Wiederverwendung eindeutiger Identifier im Teams-Nachrichtensystem konnten Angreifer den Inhalt zuvor gesendeter Nachrichten ändern – ohne die standardmäßige Kennzeichnung „Bearbeitet“ auszulösen. Das Ergebnis: eine stille Umschreibung des Nachrichtenverlaufs. Sensible Unterhaltungen könnten im Nachhinein geändert werden, wodurch das Vertrauen in Aufzeichnungen und Entscheidungen untergraben wird.
  • Gefälschte Benachrichtigungen: Benachrichtigungen, ob auf dem Handy oder auf dem Desktop, sind darauf ausgelegt, sofortige Aufmerksamkeit zu erregen. Check Point Research fand heraus, dass Angreifer Benachrichtigungsfelder so manipulieren können, dass eine Benachrichtigung scheinbar von einer vertrauenswürdigen Führungskraft oder einem Kollegen stammt
  • Ändern von Anzeigenamen über Gesprächsthemen in privaten Chats: Eine weitere von CPR identifizierte Schwachstelle ermöglicht es Angreifern, den angezeigten Namen in privaten Chats zu ändern, indem er das Gesprächsthema modifiziert. Beide Teilnehmer sehen das geänderte Thema als Gesprächsname, was sie über den Kontext des Gesprächs in die Irre führen kann.
  • Gefälschte Anruferidentität in Video-/Audioanrufen: CPR entdeckte außerdem, dass der in Anrufbenachrichtigungen (und später während des Anrufs selbst) verwendete Anzeigename durch spezifische Manipulationen von Anrufeinleitungsanfragen willkürlich geändert werden kann. Diese Schwachstelle ermöglicht es einem Angreifer, die Identität des Anrufers zu fälschen und dem Empfänger des Anrufs einen beliebigen Namen zu präsentieren.

 

Microsoft hat Teams zwar aktualisiert, um diese Schwachstellen zu beheben, ohne dass die Benutzer etwas unternehmen müssen, aber insgesamt beschädigen diese Schwachstellen das Vertrauen in digitale Kommunikation. Die Risiken gehen weit über nervigen Spam hinaus – sie ermöglichen die Imitation von Führungskräften, Finanzbetrug, die Verbreitung von Malware, Desinformationskampagnen und die Störung sensibler Kommunikation.

Cyberkriminelle erweitern ihre Operationen auf Kollaborationstools

Die Sicherheitslücken in Microsoft Teams sind eine Fallstudie für ein breiteres Problem: Auch Plattformen für die digitale Zusammenarbeit werden nun zum Ziel cyberkrimineller Machenschaften. Genauso wie E-Mails zum bevorzugten Einstiegspunkt für Phishing und die Kompromittierung wurde, bieten Arbeitsanwendungen nun einen fruchtbaren Boden für Manipulationen.

Im Gegensatz zu technischen Angriffen, die Verschlüsselungen durchbrechen oder Firewalls umgehen sollen, funktionieren diese Attacken ganz anders. Sie zielen darauf ab, das Vertrauen in Pop-up-Benachrichtigungen, Messenger-Nachrichten und Nutzernamen zu untergraben. Diese waren bis dato Mitteilungen, denen Nutzer vertrauen konnten und die ihnen zuverlässig angezeigt haben, mit wem sie sprechen und was gesagt wurde. Wenn Angreifer diese Informationen unterwandern und sabotieren können, können sie beeinflussen, was Menschen in der digitalen Kommunikation preisgeben und was sie tun.

Ein systematisches Problem, das über MS Teams hinausgeht

Microsoft hat zwar die spezifischen Schwachstellen in Teams gepatcht, doch CPRs Untersuchung zeigt, dass es nicht nur um eine Plattform geht. Angreifer haben es zunehmend auf Kollaborations- und Workspace-Apps abgesehen – von Mainstream-Tools bis hin zu neuen KI-gesteuerten Assistenten.

Check Point Research hat bereits Schwachstellen in anderen Plattformen identifiziert, darunter KI-Codierassistenten und Tools zur Workflow-Automatisierung. Das Muster ist klar: Wo immer vertrauensbasierte Interaktionen digital stattfinden, werden Angreifer nach Schwachstellen suchen.

Der Blick nach vorn: Mehrschichtige Verteidigung

Die Schlussfolgerung für Unternehmen ist klar: Vertrauen allein ist nicht genug. Native Schutzmechanismen in Anwendungen für die Zusammenarbeit sind zwar wichtig, wurden aber in erster Linie für die Benutzerfreundlichkeit und Produktivität entwickelt – und nicht für eine erweiterte Bedrohungsabwehr.

Check Point plädiert für ein mehrschichtiges Sicherheitsmodell, das Folgendes umfasst:

  • Malware- und Dateischutz: Stoppen von bösartigen Dateien, Links und Nutzdaten, die über Kollaboration-Tools verbreitet werden.
  • Schutz vor Datenverlust (DLP): Schutz sensibler Unternehmensdaten, die über Chats, Dateifreigaben und Links übertragen werden.
  • Erkennung und Reaktion auf Bedrohungen: Überwachung auf Anomalien wie fingierte Sitzungen oder ungewöhnliches Verhalten.
  • Einheitlicher Schutz über Apps hinweg: Ausdehnung der Sicherheit über Teams hinaus auf E-Mail, Browser und andere Plattformen für die Zusammenarbeit.

Durch diese zweite Verteidigungsebene können Unternehmen sicherstellen, dass ihre Daten und Abläufe auch dann sicher bleiben, wenn Angreifer neue Wege gefunden haben, eine Plattform zu manipulieren.

Ein Weckruf für IT-Sicherheitsverantwortliche

Die in Microsoft Teams aufgedeckten Schwachstellen sollten als Weckruf dienen. Angreifer brechen nicht mehr nur in Systeme ein, sondern auch in Unterhaltungen. Da die Zusammenarbeit zum Lebenselixier von Unternehmen wird, müssen sich Verteidiger auf eine Welt vorbereiten, in der sehen nicht wissen bedeutet.

CPR ist überzeugt, dass der Schlüssel für digitale Sicherheit in Transparenz und Zusammenarbeit liegt. Aus diesem Grund veröffentlichen die Sicherheitsforscher ihre Ergebnisse und arbeiten eng mit Anbietern wie Microsoft zusammen, um Abhilfe zu schaffen. Die IT-Forensiker sind allerdings auch überzeugt, dass Unternehmen die Grenzen des Vertrauens in digitale Plattformen erkennen und mehrschichtige Schutzmaßnahmen ergreifen müssen, die sowohl die menschliche Psyche als auch technische Schwachstellen berücksichtigen.

Weitere Informationen und eine tiefgehende technische Analyse.

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung
Skip to content