Vulnerabilidad en Microsoft Teams permit铆a ataques basados en im谩genes

Aprovechando una vulnerabilidad de ocupaci贸n de subdominios en Microsoft Teams, atacantes podr铆an haber utilizado un simple GIF malicioso para obtener los datos del usuario y, en 煤ltima instancia, apoderarse de toda la lista de cuentas de Teams de una organizaci贸n, seg煤n un nuevo informe de investigadores de seguridad.

Adem谩s de tomar el control de las cuentas, la vulnerabilidad recientemente descubierta, actualmente parcheada, tambi茅n podr铆a haber permitido a los hackers extraer datos valiosos. “Incluso si un atacante no recoge mucha informaci贸n de una cuenta de Teams, podr铆a utilizar la cuenta para desplazarse por toda la organizaci贸n (como un gusano)”, escribi贸 Omer Tsarfati, investigador de seguridad cibern茅tica de CyberArk. Seg煤n el experto, “eventualmente, el atacante podr铆a acceder a todos los datos de las cuentas de Teams de su organizaci贸n: informaci贸n confidencial, datos de la competencia, secretos, contrase帽as, informaci贸n privada, planes de negocio, etc.”.

CyberArk ha publicado un informe sobre la vulnerabilidad, que radica en el JSON Web Token (“authtoken”) y el “skype token”, que permiten a los usuarios de Teams compartir im谩genes entre diferentes servicios de Microsoft, como SharePoint o Outlook. “Si un atacante puede forzar de alguna manera a un usuario a visitar los subdominios que han sido capturados, el navegador de la v铆ctima enviar谩 esta cookie al servidor del atacante, y 茅ste (despu茅s de recibir el authtoken) puede crear un “skype token”. Despu茅s de hacerlo, el atacante puede robar los datos de la cuenta de los equipos de la v铆ctima”, dice el informe.

Durante la investigaci贸n, Tsarfati y su equipo notaron algo que califican de “muy interesante” en la forma en que Teams pasa el token de acceso de autenticaci贸n a los servicios de im谩genes. “Sin profundizar demasiado en los detalles t茅cnicos, cada vez que se inicia Teams, el cliente crea un nuevo token temporal o token de acceso. Este token de acceso, en forma de JWT, es habilitado por la autorizaci贸n de Microsoft y el servidor de autenticaci贸n – “login.microsoftonline.com”. Adem谩s del token de acceso inicial, hay muchos otros creados para Teams, algunos de los cuales se utilizan para acceder a diferentes servicios como SharePoint, Outlook y muchos m谩s.

Esquema del ataque a Microsoft Teams (Ilustraci贸n (c) CyberArk

El cliente de Teams utiliza uno de estos tokens de acceso para permitir al usuario ver las im谩genes compartidas con ellos o por ellos, ya que esas im谩genes se almacenan en los servidores de Microsoft, que aplica un control de autorizaci贸n. Este token, llamado “skype token”, tambi茅n puede ser visto como una cookie llamada “skypetoken_asm”. Aunque este token tiene m谩s usos que el de dar acceso a im谩genes, es en eso en lo que nos fijaremos aqu铆”, escribe CyberArk, que contin煤a explicando que, con ambos tokens en su poder, los hackers podr铆an entonces hacer llamadas y acciones de API a trav茅s de las interfaces de API de Equipos, permiti茅ndoles enviar o leer mensajes, crear grupos, gestionar miembros de grupos y cambiar los permisos de los grupos.

La vulnerabilidad parece no haber sido explotada por los cibercriminales. “Tratamos el tema discutido en este blog y trabajamos con el investigador en conformidad con el procedimiento de Divulgaci贸n Coordinada de Vulnerabilidades (Coordinated Vulnerability Disclosure). Si bien no hemos visto ning煤n uso de esta t茅cnica en la naturaleza, hemos tomado medidas para mantener a nuestros clientes seguros”, dijo Microsoft en una declaraci贸n.


Evento 15/12 驴C贸mo prepararse para un futuro que abre tantas posibilidades? Un selecto panel de visionarios del sector explorar谩 el potencial que ofrece 5G.
Evento 1/12 驴Cu谩nto costar铆a en el mercado negro un sistema de autoconducci贸n completamente desarrollado? Panel de expertos liderado por Mauricio S谩nchez de Dell'Oro Group aborda el imperativo de proteger los activos de TI e IA.

驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.