微软 Teams 是全球最受欢迎的协作工具之一,曾存在严重的漏洞,现已修复。这些漏洞可能让攻击者冒充高管、重写聊天记录,甚至伪造通知或电话——而用户对此毫无察觉……

Check Point 的研究人员本周揭露了 Teams 中的四个缺陷,如果被利用,可能会彻底破坏组织内部沟通的信任基础。这些漏洞让人可以在没有“已编辑”标签的情况下更改消息、伪造警报让其看起来来自可信同事、重命名聊天以改变显示对象,甚至在音频或视频通话中伪造来电者身份。

目前超过 3.2 亿的月活跃用户依赖 Teams 处理从财务审批到董事会决策的各种事务,这些漏洞的影响非常严重。

“这些漏洞直接影响到数字信任的核心,”Check Point Software的首席技术官兼产品漏洞研究负责人Oded Vanunu说。“威胁行为者不再需要入侵;他们只需要破坏信任。眼见未必为实,验证才是关键。”

Check Point于2024年第一次向微软披露了这些漏洞。该公司确认了这些问题,将其中一个标记为CVE-2024-38197,并在2024年发布了补丁,最终在2025年10月底完成了对呼叫者身份缺陷的修复。

这些漏洞利用了 Teams 自身的消息架构。Check Point 发现,通过重用唯一的消息标识符,可以静默地覆盖现有的聊天内容,从而删除通常显示消息编辑时间的审计记录。另一个漏洞允许攻击者更改通知参数,让警报看起来像是来自任何选择的名称——这是一种轻松假装成首席执行官或财务总监发消息的方式。第三个缺陷让攻击者可以通过修改隐藏的“对话主题”字段来更改私聊中的显示名称,而第四个缺陷则允许攻击者通过操控呼叫发起请求来伪造来电显示号码。

尽管微软将这个主要问题归类为中等严重性,但 Check Point 的概念验证显示,这些漏洞可以串联起来,造成更具破坏性的攻击。在一个模拟场景中,访客用户可以假装成高级管理人员,发送紧急指令,然后进行一次看起来很真实的视频通话——这为金融欺诈、凭证盗窃或恶意软件传播提供了一个合理的机会。

Check Point 警告称,攻击者可能利用这些漏洞进行间谍活动、传播虚假信息或干扰敏感的简报内容。“如果他们能够控制人们看到和相信的内容,他们就能绕过传统的防御,”该公司在报告中表示。“这些漏洞严重威胁到数字信任的核心。风险远不止于麻烦——它们使得高管冒充、金融欺诈、恶意软件传播和虚假信息传播成为可能。”

这表明攻击者已经从入侵系统转向干扰交流。电子邮件曾是一个弱点;现在则是像 Teams、Slack 和 Zoom 这样的协作工具。这些应用程序建立在信任之上,也就是说,向你发送消息的人就是他们所声称的那个人——但随着聊天、工作流程和 AI 助手开始融合,这种信任变得更容易受到利用。

“协作平台现在与电子邮件一样重要,并且同样容易受到威胁,”范努努说。“组织必须保护人们所信任的信息,而不仅仅是系统处理的数据。”

Check Point表示,他们的发现应该成为那些依赖信任沟通工具的企业的警钟。它建议公司采取分层防御措施,包括零信任访问控制、数据丢失防护、异常检测和员工验证协议,以防止在这些应用程序内部的操控。

虽然微软的补丁修复了直接的漏洞,但这一事件表明,即使是我们信任的平台,也可能成为欺骗的工具。根据Check Point的说法,真正的漏洞在于人性:黑客攻击的是信任,而不是系统。