Ausnutzung von Microsoft Teams: Wie Schwachstellen Identitäten, Nachrichten und Anrufe kompromittierten

Check Point Research hat Schwachstellen in Microsoft Teams identifiziert, die das Vertrauen in eine Plattform untergraben, auf die mehr als 320 Millionen Nutzer weltweit setzen. Die Lücken eröffneten Angreifern realistische Wege, sich als Führungskräfte auszugeben, Nachrichten unbemerkt zu verändern oder Anruferidentitäten zu fälschen. Obwohl Microsoft mittlerweile alle Probleme behoben hat, zeigen die Erkenntnisse, wie leicht Kollaborationstools zur Zielscheibe für Social Engineering und Spionage werden.

Vier Schwachstellen – ein Vertrauensproblem

Check Point Research hat vier Schwachstellen in Microsoft Teams aufgedeckt, die Angreifern – sowohl externen Gästen als auch böswilligen Insidern – umfangreiche Manipulationsmöglichkeiten boten. Dazu zählten:

• unbemerkte Bearbeitung bereits gesendeter Nachrichten

• manipulierte Benachrichtigungen mit gefälschtem Absender

• irreführende Anzeigenamen in privaten Chats

• Spoofing der Anruferidentität in Audio- und Videoanrufen

Die Schwachstellen hätten weitreichende Folgen gehabt: Identitätsdiebstahl von Führungskräften, Finanzbetrug, Malware-Verbreitung oder gezielte Desinformation. Microsoft wurde am 23. März 2024 informiert und hat alle Lücken bis Oktober 2025 geschlossen. Die Spoofing-Schwachstelle wurde als CVE-2024-38197 erfasst.

Teams als Angriffsziel – ein Trend mit Ansage

Angesichts der breiten Nutzung von Microsoft Teams – seit 2017 zentraler Bestandteil moderner digitaler Arbeitsplätze – ist das Interesse professioneller Angreifer kaum überraschend. Besonders staatlich unterstützte APT-Gruppen richten ihren Fokus zunehmend auf Kollaborationsplattformen, um:

• Lieferketten anzugreifen

• Social Engineering über vertraute Interfaces auszuführen

• Business-Email-Compromise-Taktiken (BEC) zu erweitern

• Zugangsdaten von Remote-Mitarbeitern abzugreifen

Moderne Arbeitsumgebungen schaffen damit ein neues Angriffsfeld: das Vertrauen in vertraute Kommunikationskanäle.

Wie Teams ausgetrickst werden konnte

Die Untersuchung analysierte primär die Webversion von Teams, deren JSON-basierte Requests das Fundament für die Manipulationen bildeten.

Nachrichten unsichtbar verändern

Durch Wiederverwendung der ursprünglichen clientmessageid konnten Nachrichten „neu gesendet“ werden – ohne sichtbaren Bearbeitungshinweis.

Gefälschte Benachrichtigungen

Die Manipulation des Parameters imdisplayname ermöglichte Push-Nachrichten, die vermeintlich von CEOs oder anderen Führungskräften stammten.

Irreführende Chat-Namen

Über einen eigentlich für Gruppenchats vorgesehenen API-Endpunkt ließen sich Themen in privaten Chats überschreiben – mit direktem Einfluss auf die wahrgenommene Identität des Gegenübers.

Spoofing bei Video- und Audioanrufen

Durch Veränderung des displayName-Attributes in Anruf-Requests konnten Angreifer beliebige Namen anzeigen lassen – eine gefährliche Grundlage für Social-Engineering-Angriffe.

Realitätstaugliche Angriffsszenarien

Die möglichen Missbrauchsszenarien reichen weit über theoretische Risiken hinaus:

• CEO-Fraud & Social Engineering: gefälschte Anweisungen zu Zahlungen oder Dokumenten

• Malware- und Phishing-Kampagnen: präparierte Links, die scheinbar von Vorgesetzten stammen

• Datendiebstahl & Spionage: besonders relevant für staatlich gestützte Angreifer

• Verwirrung in Meetings: gefälschte Teilnehmernamen in vertraulichen Besprechungen

• Fehlinformationskampagnen durch manipulierbare Nachrichtenverläufe

Microsoft hat gepatcht – doch das Risiko bleibt bestehen

Obwohl alle gemeldeten Schwachstellen inzwischen behoben sind, zeigt die Forschung klar: Native Sicherheitsmechanismen von Kollaborationstools reichen nicht aus. Unternehmen sollten zusätzliche Schutzebenen etablieren.

Empfehlungen zur Risikominimierung

Technische Maßnahmen

• Zero Trust Access: kontinuierliche Identitäts- und Gerätevalidierung

• Advanced Threat Prevention: Analyse aller Dateien, Links und Payloads in Kollaborationstools

• Data Loss Prevention (DLP): Verhinderung unerlaubter Datenabflüsse

Organisatorische Maßnahmen

• Sensibilisierung der Mitarbeitenden für Spoofing, Social Engineering und gefälschte Benachrichtigungen

• Out-of-Band-Verifizierungen bei sensiblen Vorgängen (Finanzen, Zugriffsfreigaben, vertrauliche Daten)

• Digitales Bewusstsein stärken: Vertrauen nicht allein der Oberfläche eines Tools überlassen

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Unsere Lese-Tipps

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk