להתחזות לבוס ולערוך מבלי שתדעו: הפגיעויות שנמצאו בטימס של מיקרוסופט

צוות המחקר של חברת אבטחת המידע הישראלית צ'ק פוינט (Check Point) חשף סדרת חולשות אבטחה באפליקציית Microsoft Teams, פלטפורמת העבודה השיתופית של מיקרוסופט, המשמשת מעל 320 מיליון משתמשים חודשיים ברחבי העולם ומספר רב של משרדים - אולי גם שלכם. החולשות שאותרו מאפשרות לתוקפים לערוך הודעות קיימות, לזייף התראות, לשנות שמות משתמשים ולהתחזות למנהלים בכירים - וכל זאת מבלי לעורר את החשד של המשתמשים או של מערכות ההגנה הארגוניות.

חטיבת Check Point Research העבירה את הממצאים למיקרוסופט במרץ 2024. החברה אישרה את הדיווח ופרסמה סדרת תיקונים. הפגיעה האחרונה, שעסקה בזיוף זהות בשיחות וידאו ואודיו, תוקנה בשבועות האחרונים.

ארבע הפגיעויות שנחשפו

1. זיוף זהות בשיחות קוליות ווידאו: בשלב ייזום השיחה, Teams מציגה למשתמשים את שם המתקשר. החוקרים מצאו שניתן לשנות שדה זה כך שהשיחה תיראה כאילו היא מגיעה ממישהו אחר. כך יכול התוקף לגרום לעובד לענות לשיחת וידאו שמופיעה כהתקשרות מהמנכ"ל או הבוס הישיר, ולמסור מידע רגיש או גישה למערכות הארגון.
2. עריכת הודעות מבלי שיופיע סימון "נערך": החוקרים מצאו שניתן לשנות את ההודעות הפנימיים כך שהמערכת תציג הודעה חדשה במקום הישנה, מבלי לסמן שהיא נערכה (כפי שקורה ברגע שעורכים הודעה. כך תוקף יכול לשנות את תוכן השיחה לאחר מעשה - למשל, לעדכן סכום תשלום, להוסיף הוראה עסקית או לשנות פרטי חשבון - מבלי שהמשתמשים יבחינו בשינוי.
3. זיוף התראות (Notification Spoofing): באמצעות שינוי בשדות הזהות של הודעה, ניתן לגרום להתראה להיראות כאילו נשלחה ממנהל בכיר או מעובד אמיתי. מכיוון שהתראות נתפסות כהודעות אמינות ודחופות, הן הופכות לכלי מניפולציה - בקשה לפעולה או מסמך שדורש אישור עשויים להתקבל מיידית, מבלי לבדוק את מקורם.
4. שינוי שמות שיחות ושמות תצוגה: החוקרים גם גילו שניתן להפעיל את פונקציית שינוי "נושא השיחה" גם בשיחות פרטיות, כך שהכותרת או השם שמופיעים בחלון הצ'אט משתנים ומציגים זהות שאינה שייכת לצד שממנו נשלחו ההודעות. תרחיש אפשרי הוא עובד שמקבל בקשה לשתף קובץ רגיש או לעדכן הרשאות גישה, מתוך הנחה שהוא עוזר לעמית - בעוד שבפועל הוא מעניק גישה לתוקף.

כיצד הפלטפורמה נוצלה 

בפועל, המערכת סומכת על מידע שמתקבל מהמשתמשים - כמו שם השולח, נושא השיחה או פרטי השיחה הנכנסת - ומציגה אותו ישירות למשתמשים האחרים בלי לאמת אותו כמו שצריך. זהו מנגנון נוח לשימוש, אך הוא גם זה שפתח את הדלת לניצול. במקום לפרוץ מבחוץ, החוקרים הראו שניתן "לכופף" את מנגנוני האמון הפנימיים של טימס - לגרום לפלטפורמה עצמה להציג מידע שגוי אך אמין. כך, ניתן היה לגרום לעובד לראות הודעה מזויפת מהמנכ"ל, שיחת וידאו מזויפת ממנהל אחר או שיחה פרטית שנראית כאילו היא מתנהלת עם אדם אחר לחלוטין. בצ'ק פוינט מסכמים - ההתקפה לא פוגעת בתשתית עצמה, היא פוגעת בתפיסה.

לדברי עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט: "הממצאים מדגישים שמעבר לפגיעה טכנית נקודתית, יש כאן סיכון מבוסס-אמון: תוקפים מנצלים את האמון שהמשתמשים נותנים לאפליקציות מוכרות בתוך פלטפורמות עבודה, שמהוות כיום וקטור תקיפה שמשתלב בהנדסה חברתית - בעיה שלא נפתרת רק בעדכון תוכנה. ההגנה היעילה דורשת שילוב של אימות זהויות ברמת הפעולה, בקרה רב-שכבתית על הודעות, קבצים וקישורים, וכן חינוך של עובדים לזיהוי אותות חשודים ונהלים לאימות חיצוני לביצוע פעולות רגישות. בעידן של כלי אוטומציה ובינה מלאכותית, אסטרטגיית אבטחה חייבת להתייחס לא רק לטכנולוגיה אלא גם לאופן שבו אנשים תופסים ומגיבים למידע דיגיטלי".