Microsoft Teams: Schwere Sicherheitslücken ermöglichten Identitätsdiebstahl
Check Point Research entdeckte gravierende Schwachstellen in Microsoft Teams, die Identitätsdiebstahl und Nachrichtenmanipulation ermöglichten. Alle Lücken wurden inzwischen von Microsoft behoben.
Vertrauen als Waffe: Vier kritische Schwachstellen in Microsoft Teams machten es Angreifern möglich, Führungskräfte zu imitieren, Chat-Verläufe zu manipulieren und Anrufer-Identitäten zu fälschen. Die von Check Point Research entdeckten Lücken untergraben die Vertrauensbasis der Plattform, die monatlich über 320 Millionen Menschen nutzen. Microsoft hat zwar inzwischen alle Probleme behoben, doch die Enthüllungen zeigen eine neue Dimension der Bedrohung: Angreifer nutzen das inhärente Vertrauen in Kommunikationswerkzeuge aus, statt sich nur in Systeme einzuhacken.
Die Schwachstellen ließen sich sowohl von internen Saboteuren als auch externen Angreifern ausnutzen – mit verheerenden Folgen für Unternehmen weltweit. Finanzbetrug, Malware-Verbreitung und Wirtschaftsspionage rückten plötzlich bedrohlich nah.
Vier Wege, Vertrauen zu zerstören
Der am 4. November 2025 veröffentlichte Bericht beschreibt vier unterschiedliche, aber miteinander verbundene Schwachstellen in der Teams-Architektur. Kombiniert ermöglichten sie hochgradig überzeugende Social-Engineering-Angriffe. Was macht diese Lücken so gefährlich? Sie verwandeln ein unverzichtbares Geschäftswerkzeug in einen Täuschungsapparat.
Nachträgliche Manipulation ohne Spuren: Angreifer konnten gesendete Nachrichten bearbeiten, ohne dass der verräterische „Bearbeitet”-Hinweis erschien. Durch Manipulation eindeutiger Nachrichten-IDs ließen sich Chat-Inhalte stillschweigend überschreiben – die digitale Geschichte wurde umgeschrieben, ohne Prüfspur.
Anzeige: Apropos interne Kommunikation – Angreifer nutzen oft das Smartphone von Mitarbeitern als Eintrittspforte. Der kostenlose Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android, mit klaren Schritt‑für‑Schritt-Anleitungen gegen Datendiebstahl, bösartige Links und Schadsoftware – ideal für alle, die Teams, WhatsApp oder Mobile-Banking nutzen. Gratis-Ratgeber: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone herunterladen
Gefälschte Benachrichtigungen: Eine kritische Lücke erlaubte die Veränderung von Benachrichtigungsdaten. Angreifer konnten Mitteilungen so manipulieren, dass sie scheinbar von beliebigen Personen stammten – etwa vom CEO oder CFO. Ein perfektes Werkzeug, um Mitarbeiter zum Klick auf bösartige Links zu verleiten.
Identitätswechsel in Chats: Forscher entdeckten eine Schwachstelle in einem Teams-API-Endpunkt, die es ermöglichte, Anzeigenamen in privaten Chat-Verläufen zu ändern. Böswillige Nutzer konnten Einzelgespräche umbenennen und sich so als Manager oder HR-Vertreter ausgeben.
Gefälschte Anrufer-Identität: Besonders alarmierend: Das System für Video- und Audioanrufe ließ sich manipulieren. Angreifer konnten beim Anrufaufbau den Anzeigenamen fälschen und so vortäuschen, ein vertrauenswürdiger Kollege rufe an. Die perfekte Falle, um sensible Informationen während eines Meetings abzugreifen.
Anatomie eines Angriffs: Von harmlos zu hochgefährlich
Die Kombination dieser Schwachstellen stellte ein erhebliches Risiko für Unternehmen weltweit dar. Ein Angreifer – ob als externer Gast-Nutzer oder als abtrünniger Mitarbeiter – konnte diese Lücken für ausgeklügelte Attacken nutzen. Wie könnte so ein Angriff aussehen? Ein scheinbar harmloses Nachrichten wird gesendet, nach dem Lesen dann unbemerkt mit einem Schadlink oder betrügerischen Anweisungen versehen. Anschließend folgt eine gefälschte Benachrichtigung, scheinbar von einem Top-Manager, die Dringlichkeit und Glaubwürdigkeit verleiht.
Die realen Gefahren sind vielfältig und gravierend. Check Point Research warnte vor folgenden Angriffsszenarien:
Finanzielle Betrügereien durch Identitätsdiebstahl: Angreifer könnten sich überzeugend als Vorstandsmitglieder ausgeben, um betrügerische Überweisungen zu autorisieren oder Mitarbeiter zur Preisgabe sensibler Finanzdaten zu bewegen.
Verbreitung von Schadsoftware: Manipulierte Nachrichten vermeintlich vertrauenswürdiger Absender könnten bösartige Links und Dateien verbreiten – vorbei an traditionellen Sicherheitsfiltern und dem gesunden Misstrauen der Mitarbeiter.
Desinformationskampagnen: Manipulation von Chat-Verläufen oder das Imitieren von Schlüsselpersonen ermöglichte die Verbreitung von Falschinformationen innerhalb einer Organisation. Geschäftsprozesse könnten gestört, Entscheidungen beeinflusst werden.
Wirtschaftsspionage: Gefälschte Anrufer-Identitäten in sensiblen Meetings erlaubten es, vertrauliche Gespräche zu belauschen oder Teilnehmer zur Preisgabe geschützter Informationen zu verleiten.
Verantwortungsvolle Offenlegung und Microsofts Reaktion
Check Point Research meldete die Entdeckungen am 23. März 2024 verantwortungsvoll an Microsoft. Der Konzern bestätigte den Eingang und begann mit Untersuchungen. Die Behebung erfolgte gestaffelt über 2024 und 2025 hinweg. Die Schwachstelle zur Nachrichtenbearbeitung wurde im Mai 2024 geschlossen, gefolgt vom Fix für die Anzeigenamen-Manipulation im Juli 2024.
Die Benachrichtigungs-Schwachstelle erhielt die offizielle Kennung CVE-2024-38197 und wurde im September 2024 gepatcht. Microsoft stufte sie als mittelschweres Spoofing-Problem ein. Die letzte Lücke – gefälschte Anrufer-Identitäten – wurde Ende Oktober 2025 behoben. Damit waren alle vier Schwachstellen beseitigt. Laut den Forschern müssen Nutzer nichts unternehmen, da Microsoft die Updates bereits plattformweit eingespielt hat.
Vertrauenserosion: Die neue Frontlinie der Cybersicherheit
Dieser Vorfall markiert einen kritischen Wandel in der Cybersicherheitslandschaft. Während traditionelle Abwehrmechanismen gegen E-Mail-Phishing robuster werden, nehmen Angreifer zunehmend die Kollaborationsplattformen ins Visier, die das Rückgrat moderner Arbeit bilden. Teams, Slack, Zoom – sie alle basieren auf implizitem Vertrauen. Genau dieses Vertrauen zielten die nun geschlossenen Schwachstellen ab.
„Diese Schwachstellen treffen das Herz des digitalen Vertrauens”, erklärt Oded Vanunu, Leiter der Produktsicherheitsforschung bei Check Point. „Angreifer müssen nicht mehr einbrechen – sie müssen nur Vertrauen biegen. Sehen heißt nicht mehr glauben – Verifikation ist alles.” Die Forschungsergebnisse zeigen: Selbst bei robuster Perimetersicherheit können interne Kommunikationssysteme zu mächtigen Täuschungswerkzeugen pervertiert werden.
Mehrschichtige Verteidigung: Die Lehre für Unternehmen
Microsoft hat die konkreten Schwachstellen zwar behoben, doch die Erkenntnisse sind eine eindringliche Warnung für Organisationen. Das inhärente Vertrauen, das Nutzer in interne Kommunikationsplattformen setzen, macht diese zu attraktiven Zielen. Sicherheitsexperten argumentieren, dass Unternehmen sich nicht mehr allein auf die nativen Sicherheitsfunktionen dieser Plattformen verlassen können.
Check Point empfiehlt eine mehrschichtige Verteidigungsstrategie. Dazu gehören Zero-Trust-Zugriffskontrollen, die kontinuierlich Nutzeridentität und Gerätestatus verifizieren, sowie fortschrittliche Bedrohungsabwehr-Tools, die in Kollaborationsanwendungen geteilte Dateien und Links untersuchen. Letztlich unterstreicht dieser Vorfall die wachsende Bedeutung von Mitarbeiterschulungen und einer Kultur des kritischen Denkens. Selbst wenn Nachrichten scheinbar von vertrauenswürdigen internen Quellen stammen – Verifikation muss zur zweiten Natur werden.
Anzeige: PS: Wenn Kommunikationstools zur Angriffsfläche werden, schützt auch das Smartphone jedes Mitarbeiters das Unternehmen – oder öffnet es Angreifern. Der Gratis-Report erklärt in einfachen Schritten, wie Sie WhatsApp, E‑Mail und Mobile-Apps sicherer machen – ohne teure Zusatzsoftware. Jetzt kostenloses Android-Sicherheits-Paket anfordern
