449/68 (IT) ประจำวันพฤหัสบดีที่ 6 พฤศจิกายน 2568
นักวิจัยด้านความปลอดภัยไซเบอร์ เปิดเผยรายละเอียดช่องโหว่ 4 รายการใน Microsoft Teams ซึ่งอาจเปิดทางให้ผู้โจมตีปลอมตัวเป็นเพื่อนร่วมงาน แก้ไขข้อความโดยไม่ถูกตรวจพบ หลอกให้เหยื่อเชื่อว่าข้อความมาจากผู้บริหารหรือบุคคลที่เชื่อถือได้ ช่องโหว่เหล่านี้ได้รับการเปิดเผยต่อ Microsoft ตั้งแต่เดือนมีนาคม 2024 และได้รับการแก้ไขบางส่วนในเดือนสิงหาคม ภายใต้รหัส CVE-2024-38197 ก่อนที่แพตช์เพิ่มเติมจะถูกปล่อยออกมาในเดือนกันยายน 2024 และตุลาคม 2025
ช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้โจมตีสามารถแก้ไขเนื้อหาข้อความโดยไม่แสดงป้าย Edited และแก้ไขการแจ้งเตือน (Notification) เพื่อเปลี่ยนชื่อผู้ส่ง ทำให้เหยื่อเข้าใจผิดว่าข้อความมาจากบุคคลภายในองค์กร เช่น ผู้บริหารระดับสูง หรือฝ่าย IT ซึ่งอาจนำไปสู่การคลิกลิงก์อันตรายหรือเปิดเผยข้อมูลสำคัญโดยไม่ตั้งใจ นอกจากนี้ยังสามารถปลอมชื่อผู้โทรในระหว่างการสนทนา เปลี่ยนหัวข้อของการแชตส่วนตัวเพื่อแก้ไขชื่อที่แสดง รวมถึงสร้างการแจ้งเตือนปลอมระหว่างการโทร เพื่อหลอกให้ผู้รับเชื่อว่ากำลังติดต่อกับบุคคลจริง
Microsoft ระบุว่า CVE-2024-38197 เป็นช่องโหว่ระดับ ปานกลาง (CVSS 6.5) ที่เกี่ยวข้องกับการปลอมแปลงชื่อผู้ส่งในTeams for iOS ซึ่งอาจถูกนำไปใช้ในการโจมตีแบบ Social Engineering เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลส่วนบุคคล นักวิจัยเตือนว่าช่องโหว่เหล่านี้มีผลกระทบต่อความไว้วางใจของแพลตฟอร์มที่มีผู้ใช้มากกว่า 320 ล้านคนทั่วโลก พร้อมแนะนำให้องค์กรเพิ่มมาตรการตรวจสอบความถูกต้องของข้อความ การแจ้งเตือน และผู้ติดต่อในระบบสื่อสารภายในอย่างเข้มงวดเพื่อป้องกันการถูกหลอกลวงในอนาคต
แหล่งข่าว https://thehackernews.com/2025/11/microsoft-teams-bugs-let-attackers.html
