Check Point 的網路安全研究人員揭露了微軟 Teams 中的四個安全漏洞的細節，這些漏洞可能使用戶面臨嚴重的身份冒用和社交工程攻擊。這些漏洞的綜合影響，讓攻擊者得以操縱對話、冒充同事，並利用通知機制進行欺騙。在 2024 年 3 月負責任地揭露之後，微軟於 2024 年 8 月根據 CVE 識別碼 CVE-2024-38197（CVSS 評分：6.5）解決了一些問題，隨後在 2024 年 9 月和 2025 年 10 月推出了後續修補程式。

這些弱點使得攻擊者可以在不改變「已編輯」標籤和寄件者身份的情況下更改訊息內容，攻擊者可能利用此漏洞更改 Teams 訊息的寄件者姓名，並透過社交工程手段誘騙受害者打開惡意訊息，使其看起來像是來自可信來源，包括知名高階主管。

除了允許更改訊息內容和偽造寄件者身份外，這些漏洞還使攻擊者能夠在私人聊天中透過修改對話主題來更改顯示名稱，並任意修改通話通知和通話過程中的顯示名稱，從而在通話過程中偽造來電者身份。

這種攻擊模式同時影響外部訪客使用者和內部的惡意行為者，其風險極為嚴重，因為它破壞了安全邊界，並可能誘使目標執行非預期的操作，例如點擊訊息中發送的惡意連結或共享敏感資料。微軟將 CVE-2024-38197 描述為一個中等嚴重性的詐騙問題，主要影響 Teams 的 iOS 版本，可能允許攻擊者更改 Teams 訊息的寄件人姓名，並可能通過社交工程手段誘使受害者洩露敏感資訊。

Check Point 研究人員 Oded Vanunu 指出：「這些漏洞衝擊了數位信任的核心。」在當今企業環境中，像 Teams 這樣的協作平台已變得與電子郵件一樣關鍵，同時也同樣容易受到攻擊。

Check Point的研究表明，威脅行為者不再需要入侵系統；他們只需要扭曲信任。如今，企業必須保護人們的信念，而不僅僅是系統處理的數據。眼見不再為實，驗證才是關鍵。

這些漏洞的發現，正值威脅行為者越來越多地利用微軟的企業通訊平台進行攻擊之際。攻擊者利用其廣泛的協作功能和全球普及性，在攻擊鏈的不同階段將聊天、通話、會議和螢幕共享等功能武器化。因此，企業必須意識到，對於像 Teams 這樣的核心協作工具，單純的系統防禦已不足夠。更重要的是建立一套基於懷疑和驗證的文化和安全流程，以保護員工免受高階社交工程攻擊的侵害。

今天日報以一則生活故事，來描述這個漏洞被駭客利用的情境 (參閱以下故事情境)