Le piattaforme di collaborazione: il nuovo campo di battaglia per i criminali informatici

Check Point Research ha scoperto diverse vulnerabilità in Microsoft Teams che potrebbero consentire agli aggressori di impersonare dirigenti, manipolare messaggi e falsificare notifiche.

Con oltre 320 milioni di utenti attivi al mese, Microsoft Teams è diventato la spina dorsale della comunicazione moderna sul posto di lavoro. Dalle riunioni del consiglio di amministrazione alle chat individuali, alimenta le interazioni quotidiane di aziende, piccole imprese e governi in tutto il mondo. Le ultime scoperte di Check Point Research mostrano come gli aggressori possano stravolgere proprio quei meccanismi di fiducia che rendono Teams efficace, trasformando la collaborazione in un vettore di attacco.

L’ascesa della collaborazione come superficie di attacco

Negli ultimi dieci anni, gli aggressori hanno preso di mira senza sosta la posta elettronica, sfruttando il suo ruolo di strumento di comunicazione aziendale predefinito. Oggi assistiamo all’applicazione dello stesso copione alle app di collaborazione. Piattaforme come Microsoft Teams, Slack e Zoom non sono solo strumenti che favoriscono la produttività, ma stanno diventando infrastrutture aziendali fondamentali.

Questo cambiamento ha attirato l’attenzione di sofisticati autori di minacce. I gruppi APT (Advanced Persistent Threat) e i criminali informatici motivati da ragioni finanziarie riconoscono che, se riescono a manipolare ciò che le persone vedono e credono all’interno di queste piattaforme, possono aggirare le difese tradizionali. Il social engineering prospera in ambienti di fiducia e le app di collaborazione si basano proprio sulla fiducia.

Le vulnerabilità scoperte in Microsoft Teams non sono isolate, ma rappresentano una tendenza più ampia: gli aggressori sfruttano le supposizioni che gli utenti fanno quando comunicano attraverso canali familiari e affidabili.

Cosa è stato scoperto

Check Point Research ha condotto un’analisi approfondita di Microsoft Teams, concentrandosi sia sugli ospiti esterni che sugli insider malintenzionati. I risultati sono stati sorprendenti: molteplici vulnerabilità consentivano agli attaccanti di manipolare le conversazioni, impersonare colleghi e sfruttare le notifiche.

• Modifica invisibile dei messaggi

Riutilizzando gli identificatori univoci nel sistema di messaggistica di Teams, gli attaccanti potrebbero alterare il contenuto dei messaggi inviati in precedenza senza attivare l’etichetta standard “Modificato”. Il risultato: una riscrittura silenziosa della cronologia. Le conversazioni sensibili potrebbero essere modificate a posteriori, minando la fiducia nei registri e nelle decisioni.

• Notifiche contraffatte

Le notifiche, sia su dispositivi mobili che desktop, sono progettate per catturare immediatamente l’attenzione. Check Point Research ha scoperto che gli attaccanti potevano manipolare i campi delle notifiche in modo che un avviso sembrasse provenire da un dirigente o un collega di fiducia.

• Modifica dei nomi visualizzati tramite argomenti di conversazione nelle chat private

È stata individuata una vulnerabilità che consente a un malintenzionato di modificare il nome visualizzato nelle conversazioni private, modificando l’argomento della conversazione. Entrambi i partecipanti vedono l’argomento modificato come nome della conversazione, il che potrebbe fuorviarli sul contesto della conversazione.

• Identità del chiamante falsificata nelle chiamate video/audio

È stato scoperto che il nome visualizzato nelle notifiche delle chiamate (e successivamente durante la chiamata stessa) poteva essere modificato arbitrariamente attraverso specifiche manipolazioni delle richieste di avvio delle chiamate. Questa vulnerabilità consente di falsificare l’identità del chiamante, presentando al destinatario della chiamata un nome a sua scelta.

Nonostante Microsoft abbia aggiornato Teams per correggere queste vulnerabilità, senza richiedere alcuna azione da parte degli utenti, nel complesso, queste colpiscono il cuore della fiducia digitale. I rischi vanno ben oltre il semplice fastidio: consentono l’usurpazione di identità di dirigenti, frodi finanziarie, diffusione di malware, campagne di disinformazione e interruzione di comunicazioni sensibili.

Risoluzione del problema

Check Point Research ha divulgato in modo responsabile le vulnerabilità a Microsoft il 23 marzo 2024, che le ha poi etichettate come CVE-2024-38197. Microsoft ha indagato sui problemi e ha implementato una serie di correzioni nel corso del 2024, con la correzione finale per le chiamate video e audio che ha avuto luogo alla fine di ottobre 2025.

Le vulnerabilità di Microsoft Teams sono un caso di studio di un problema più ampio: le piattaforme di collaborazione stanno diventando il nuovo campo di battaglia. Proprio come l’e-mail è diventata il punto di accesso preferito per il phishing e il business email compromise (BEC), le app sul posto di lavoro ora forniscono un terreno fertile per la manipolazione.

A differenza degli exploit tecnici che si basano sulla violazione della crittografia o sull’aggiramento dei firewall, questi attacchi funzionano sovvertendo i segnali di fiducia. Una notifica, un nome visualizzato, un messaggio citato: tutti questi sono segnali sottili su cui i dipendenti fanno affidamento per sapere con chi stanno parlando e cosa è stato detto. Se gli attaccanti riescono a manipolare questi segnali, possono manipolare il processo decisionale stesso.

Oltre Teams: un problema sistemico

Sebbene Microsoft abbia corretto le vulnerabilità specifiche di Teams, la ricerca di Check Point evidenzia il fatto che gli aggressori prendono sempre più di mira le app di collaborazione e di lavoro.

Check Point Research ha già identificato vulnerabilità in altre piattaforme, tra cui gli assistenti di codifica AI e gli strumenti di automazione del flusso di lavoro. Il modello è chiaro: ovunque avvengano interazioni basate sulla fiducia in ambito digitale, gli attaccanti cercheranno di individuare i punti deboli.

La strada da seguire: difesa a più livelli

La conclusione per le organizzazioni è chiara: la fiducia da sola non basta. Le difese native all’interno delle app di collaborazione, sebbene importanti, sono state progettate principalmente per l’usabilità e la produttività, non per la prevenzione avanzata delle minacce.

Check Point sostiene un modello di sicurezza a più livelli che include:

• Protezione da malware e file: blocco di file, link e payload dannosi condivisi tramite strumenti di collaborazione.
• Prevenzione della perdita di dati (DLP): protezione delle risorse aziendali sensibili durante il loro trasferimento tramite chat, condivisione di file e link.
• Rilevamento e risposta alle minacce: monitoraggio di anomalie quali sessioni contraffatte o comportamenti insoliti.
• Protezione unificata tra le app: estensione della sicurezza oltre Teams per coprire e-mail, browser e altre piattaforme di collaborazione.

Aggiungendo questo ulterire livello di difesa, le organizzazioni possono garantire che le proprie operazioni e i propri dati rimangano protetti anche se la fiducia all’interno di una piattaforma viene manipolata.

Guardando al futuro

Le vulnerabilità scoperte in Microsoft Teams dovrebbero servire da campanello d’allarme. Gli aggressori non si limitano più a violare i sistemi, ma anche le conversazioni. Poiché la collaborazione sta diventando la linfa vitale delle aziende, i difensori devono prepararsi a un mondo in cui ciò che si vede non corrisponde necessariamente alla realtà.

“Crediamo fermamente che la trasparenza e la collaborazione siano fondamentali”, afferma Cristiano Voschion, Country Manager per l’Italia di Check Point Software Technologies. “Ecco perché pubblichiamo i nostri risultati e lavoriamo a stretto contatto con fornitori come Microsoft per promuovere le correzioni. Allo stesso modo, però, crediamo che le organizzazioni debbano riconoscere i limiti della fiducia nelle piattaforme digitali e adottare difese a più livelli che tengano conto tanto della psicologia umana quanto delle falle tecniche”.