צוות המחקר של חברת האבטחה הישראלית Check Point חשף סדרת חולשות משמעותיות במיקרוסופט teams, פלטפורמת העבודה השיתופית של ענקית הטכנולוגיה, המשמשת יותר מ-320 מיליון משתמשים ברחבי העולם. הפגיעויות, שדווחו למיקרוסופט כבר במארס 2024 ותוקנו במהלך השנה האחרונה, אפשרו לתוקפים לערוך הודעות, לזייף התראות, לשנות שמות משתמשים ולהתחזות למנהלים בכירים בארגון - כל זאת מבלי שהמשתמשים או מערכות ההגנה יבחינו בכך.
ההשלכות של חולשות אלו חורגות מעבר לפגיעה טכנית. "הממצאים מדגישים שמעבר לפגיעה טכנית נקודתית, יש כאן סיכון מבוסס-אמון", אומר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט. "תוקפים מנצלים את האמון שהמשתמשים נותנים לאפליקציות מוכרות בתוך פלטפורמות עבודה".
ארבע דרכים לנצל את המערכת
הפגיעות שהתגלו אפשרו כמה תרחישי תקיפה מדאיגים. הראשונה אפשרה זיוף זהות בשיחות קוליות ווידאו. כך, תוקף יכול לגרום לעובד לענות לשיחה שמופיעה כהתקשרות מהמנכ"ל, ולמסור מידע רגיש או גישה למערכות ארגוניות.
השנייה, אפשרה עריכת הודעות קיימות מבלי שיופיע הסימון "נערך" שמופיע בדרך כלל. כך, תוקף יכול לשנות תוכן של שיחה לאחר מעשה, למשל לעדכן סכום תשלום או לשנות פרטי חשבון בנק.
החולשה השלישית אפשרה זיוף התראות, כך שהודעה תיראה כאילו נשלחה ממנהל בכיר או מעובד מסוים. מכיוון שהתראות נתפסות כדחופות ואמינות, הן הופכות לכלי מניפולציה יעיל - בקשה לאישור או פעולה עשויה להתקבל מיידית מבלי שיבדקו את מקורה.
החולשה הרביעית אפשרה שינוי שמות שיחות ושמות תצוגה גם בצ'אט פרטי, כך שעובד עשוי לחשוב שהוא מתכתב עם עמית בעוד שבפועל הוא מעניק גישה למידע רגיש לתוקף.
ניצול האמון הפנימי
המכנה המשותף לכל הפגיעויות הוא שהן לא ניצלו פירצה טכנית במערכת, אלא את מנגנוני האמון הפנימיים שלה. המערכת סומכת על מידע שמתקבל מהמשתמשים - כמו שם השולח או נושא השיחה - ומציגה אותו למשתמשים אחרים מבלי לאמת אותו באופן מלא.
החוקרים הראו שניתן "לכופף" מנגנונים אלו ולגרום לפלטפורמה עצמה להציג מידע שגוי, אך "אמין", למשתמשים.
"ההתקפה לא פוגעת בתשתית, היא פוגעת בתפיסה", מסביר ואנונו. במקום לפרוץ מבחוץ, התוקפים משתמשים במערכת עצמה כדי ליצור מציאות מזויפת שנראית אמינה לחלוטין.
תיקון אחראי ולקחים רחבים
כאמור, צ'ק פוינט דיווחה על הפגיעויות למיקרוסופט ב-2024 והחברה הגיבה במהירות יחסית. התיקון הראשון פורסם כבר במאי 2024, והאחרון הושלם באוקטובר 2025. אחת החולשות, זיוף ההתראות, קיבלה מספר זיהוי רשמי CVE-2024-38197 ונרשמה כבעיית אבטחה בדרגת חומרה בינונית.
עם זאת, החוקרים מדגישים שהבעיה חורגת מעדכון תוכנה. "בעידן של כלי אוטומציה ובינה מלאכותית, אסטרטגיית אבטחה חייבת להתייחס לא רק לטכנולוגיה, אלא גם לאופן שבו אנשים תופסים ומגיבים למידע דיגיטלי", אומר ואנונו.
הפתרון דורש שילוב של אימות זהויות ברמת הפעולה, בקרה רב-שכבתית, וחינוך עובדים לזיהוי סימני אזהרה ולאימות חיצוני של פעולות רגישות - במיוחד כאלו הקשורות בעסקאות כספיות או מידע רגיש.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו