-
09/04/2020
-
118
-
1.240 bài viết
Microsoft Teams tồn tại 4 lỗ hổng cho phép giả mạo danh tính và lừa đảo người dùng
Trong một nghiên cứu mới, các chuyên gia an ninh mạng đã phát hiện bốn lỗ hổng nghiêm trọng trong nền tảng Microsoft Teams, có thể cho phép tin tặc giả mạo danh tính, chỉnh sửa nội dung tin nhắn và lừa người dùng ngay trong chính môi trường làm việc. Phát hiện này làm dấy lên lo ngại rằng, ngay cả những công cụ giao tiếp doanh nghiệp được xem là an toàn nhất cũng có thể trở thành mảnh đất màu mỡ cho các cuộc tấn công lừa đảo tinh vi.
Theo báo cáo được chia sẻ, 4 lỗ hổng trong Microsoft Teams cho phép kẻ tấn công chỉnh sửa nội dung tin nhắn mà không để lại dấu vết “đã chỉnh sửa”, thay đổi tên người gửi hoặc giả mạo thông báo từ các lãnh đạo cấp cao.
Điều này có nghĩa là một nhân viên có thể nhận được tin nhắn tưởng như đến từ giám đốc tài chính (CFO) hay bộ phận CNTT, nhưng thực tế lại đến từ một hacker đang tìm cách lừa họ bấm vào liên kết độc hại hoặc chia sẻ thông tin nhạy cảm.
Các lỗ hổng này ảnh hưởng đến cả người dùng nội bộ và khách mời bên ngoài (guest user), không cần phải xâm nhập sâu vào hệ thống, kẻ tấn công vẫn có thể “uốn cong niềm tin” giữa các thành viên trong cùng một tổ chức.
Các chuyên gia đã phát hiện ra và báo cho Microsoft từ tháng 3/2024. Sau quá trình đánh giá, Microsoft đã phát hành bản vá đầu tiên vào tháng 8/2024 với định danh CVE-2024-38197, được đánh giá ở mức trung bình (CVSS: 6,5).
Các bản vá bổ sung tiếp tục được phát hành vào tháng 9/2024 và tháng 10/2025 nhằm khắc phục toàn bộ các vấn đề còn sót lại.
Dù mức độ được đánh giá là “trung bình”, nhưng theo các chuyên gia, tác động thực tế đối với người dùng lại cực kỳ nguy hiểm, bởi lỗ hổng không phá hủy hệ thống, mà tấn công trực tiếp vào niềm tin giữa con người, yếu tố cốt lõi trong mọi môi trường làm việc số.
Các lỗ hổng này có thể cho phép:
Microsoft cũng thừa nhận trong khuyến cáo gần đây rằng, Teams đang trở thành mục tiêu giá trị cao cho cả tội phạm mạng và thậm chí là cho cả tin tặc do nhà nước hậu thuẫn, vì đây là công cụ tập trung nhiều dữ liệu và trao đổi nội bộ quan trọng của doanh nghiệp. Không chỉ tin nhắn, mà các cuộc gọi, video, và chia sẻ màn hình cũng đang bị lợi dụng trong các chiến dịch lừa đảo tinh vi.
Những lỗ hổng kiểu này đặc biệt nguy hiểm bởi nó không tạo ra dấu hiệu bất thường rõ ràng, khiến người dùng không hề nghi ngờ cho tới khi quá muộn. Ví dụ, một nhân viên có thể nhận được thông báo Teams từ “Trưởng phòng IT” yêu cầu họ cài một bản cập nhật bảo mật gấp hoặc chia sẻ mã xác thực MFA và mặc nhiên họ sẽ làm theo vì tin rằng tin nhắn đến từ nguồn tin cậy/hợp pháp.
Các cuộc tấn công kiểu này có thể dẫn đến:
Các chuyên gia khuyến cáo, để giảm thiểu nguy cơ bị tấn công qua các nền tảng cộng tác như Teams, cần thực hiện một số biện pháp cơ bản nhưng hiệu quả:
Theo báo cáo được chia sẻ, 4 lỗ hổng trong Microsoft Teams cho phép kẻ tấn công chỉnh sửa nội dung tin nhắn mà không để lại dấu vết “đã chỉnh sửa”, thay đổi tên người gửi hoặc giả mạo thông báo từ các lãnh đạo cấp cao.
Điều này có nghĩa là một nhân viên có thể nhận được tin nhắn tưởng như đến từ giám đốc tài chính (CFO) hay bộ phận CNTT, nhưng thực tế lại đến từ một hacker đang tìm cách lừa họ bấm vào liên kết độc hại hoặc chia sẻ thông tin nhạy cảm.
Các lỗ hổng này ảnh hưởng đến cả người dùng nội bộ và khách mời bên ngoài (guest user), không cần phải xâm nhập sâu vào hệ thống, kẻ tấn công vẫn có thể “uốn cong niềm tin” giữa các thành viên trong cùng một tổ chức.
Các chuyên gia đã phát hiện ra và báo cho Microsoft từ tháng 3/2024. Sau quá trình đánh giá, Microsoft đã phát hành bản vá đầu tiên vào tháng 8/2024 với định danh CVE-2024-38197, được đánh giá ở mức trung bình (CVSS: 6,5).
Các bản vá bổ sung tiếp tục được phát hành vào tháng 9/2024 và tháng 10/2025 nhằm khắc phục toàn bộ các vấn đề còn sót lại.
Dù mức độ được đánh giá là “trung bình”, nhưng theo các chuyên gia, tác động thực tế đối với người dùng lại cực kỳ nguy hiểm, bởi lỗ hổng không phá hủy hệ thống, mà tấn công trực tiếp vào niềm tin giữa con người, yếu tố cốt lõi trong mọi môi trường làm việc số.
Các lỗ hổng này có thể cho phép:
- Thay đổi nội dung tin nhắn mà không để lại nhãn “đã chỉnh sửa”.
- Giả mạo tên người gửi trong thông báo và cuộc gọi Teams, khiến người nhận tưởng đang trao đổi với người thật.
- Chỉnh sửa tên hiển thị trong các cuộc trò chuyện riêng tư hoặc nhóm.
Microsoft cũng thừa nhận trong khuyến cáo gần đây rằng, Teams đang trở thành mục tiêu giá trị cao cho cả tội phạm mạng và thậm chí là cho cả tin tặc do nhà nước hậu thuẫn, vì đây là công cụ tập trung nhiều dữ liệu và trao đổi nội bộ quan trọng của doanh nghiệp. Không chỉ tin nhắn, mà các cuộc gọi, video, và chia sẻ màn hình cũng đang bị lợi dụng trong các chiến dịch lừa đảo tinh vi.
Những lỗ hổng kiểu này đặc biệt nguy hiểm bởi nó không tạo ra dấu hiệu bất thường rõ ràng, khiến người dùng không hề nghi ngờ cho tới khi quá muộn. Ví dụ, một nhân viên có thể nhận được thông báo Teams từ “Trưởng phòng IT” yêu cầu họ cài một bản cập nhật bảo mật gấp hoặc chia sẻ mã xác thực MFA và mặc nhiên họ sẽ làm theo vì tin rằng tin nhắn đến từ nguồn tin cậy/hợp pháp.
Các cuộc tấn công kiểu này có thể dẫn đến:
- Rò rỉ dữ liệu nội bộ và thông tin khách hàng.
- Chiếm quyền truy cập tài khoản doanh nghiệp.
- Triển khai mã độc hoặc ransomware qua liên kết nội bộ.
- Gây mất uy tín cho tổ chức do tin nhắn bị giả mạo phát tán.
Các chuyên gia khuyến cáo, để giảm thiểu nguy cơ bị tấn công qua các nền tảng cộng tác như Teams, cần thực hiện một số biện pháp cơ bản nhưng hiệu quả:
- Cập nhật Teams và hệ điều hành thường xuyên, đảm bảo đã cài đặt bản vá CVE-2024-38197 và các bản vá khác liên quan.
- Không nhấp vào liên kết hoặc tệp đính kèm nếu tin nhắn có dấu hiệu bất thường, dù đến từ người quen.
- Kích hoạt xác thực đa yếu tố (MFA) và giám sát hoạt động đăng nhập bất thường.
- Đào tạo nhân viên nhận biết các chiêu trò giả mạo qua tin nhắn nội bộ.
- Giới hạn quyền truy cập của khách mời hoặc tài khoản bên ngoài trong hệ thống Teams.
WhiteHat