DiarioTi.com - el diario del profesional TI

Jueves 4 Jun 2020 | Año 19 | Edición 4946
Menu
letter


Vulnerabilidad en Microsoft Teams permitía ataques basados en imágenes

Aprovechando una vulnerabilidad de ocupación de subdominios en Microsoft Teams, atacantes podrían haber utilizado un simple GIF malicioso para obtener los datos del usuario y, en última instancia, apoderarse de toda la lista de cuentas de Teams de una organización, según un nuevo informe de investigadores de seguridad.

Diario TI 28/04/20 5:39:10

Además de tomar el control de las cuentas, la vulnerabilidad recientemente descubierta, actualmente parcheada, también podría haber permitido a los hackers extraer datos valiosos. “Incluso si un atacante no recoge mucha información de una cuenta de Teams, podría utilizar la cuenta para desplazarse por toda la organización (como un gusano)”, escribió Omer Tsarfati, investigador de seguridad cibernética de CyberArk. Según el experto, “eventualmente, el atacante podría acceder a todos los datos de las cuentas de Teams de su organización: información confidencial, datos de la competencia, secretos, contraseñas, información privada, planes de negocio, etc.”.

CyberArk ha publicado un informe sobre la vulnerabilidad, que radica en el JSON Web Token (“authtoken”) y el “skype token”, que permiten a los usuarios de Teams compartir imágenes entre diferentes servicios de Microsoft, como SharePoint o Outlook. “Si un atacante puede forzar de alguna manera a un usuario a visitar los subdominios que han sido capturados, el navegador de la víctima enviará esta cookie al servidor del atacante, y éste (después de recibir el authtoken) puede crear un “skype token”. Después de hacerlo, el atacante puede robar los datos de la cuenta de los equipos de la víctima”, dice el informe.

Durante la investigación, Tsarfati y su equipo notaron algo que califican de “muy interesante” en la forma en que Teams pasa el token de acceso de autenticación a los servicios de imágenes. “Sin profundizar demasiado en los detalles técnicos, cada vez que se inicia Teams, el cliente crea un nuevo token temporal o token de acceso. Este token de acceso, en forma de JWT, es habilitado por la autorización de Microsoft y el servidor de autenticación – “login.microsoftonline.com”. Además del token de acceso inicial, hay muchos otros creados para Teams, algunos de los cuales se utilizan para acceder a diferentes servicios como SharePoint, Outlook y muchos más.

Esquema del ataque a Microsoft Teams (Ilustración (c) CyberArk

El cliente de Teams utiliza uno de estos tokens de acceso para permitir al usuario ver las imágenes compartidas con ellos o por ellos, ya que esas imágenes se almacenan en los servidores de Microsoft, que aplica un control de autorización. Este token, llamado “skype token”, también puede ser visto como una cookie llamada “skypetoken_asm”. Aunque este token tiene más usos que el de dar acceso a imágenes, es en eso en lo que nos fijaremos aquí”, escribe CyberArk, que continúa explicando que, con ambos tokens en su poder, los hackers podrían entonces hacer llamadas y acciones de API a través de las interfaces de API de Equipos, permitiéndoles enviar o leer mensajes, crear grupos, gestionar miembros de grupos y cambiar los permisos de los grupos.

La vulnerabilidad parece no haber sido explotada por los cibercriminales. “Tratamos el tema discutido en este blog y trabajamos con el investigador en conformidad con el procedimiento de Divulgación Coordinada de Vulnerabilidades (Coordinated Vulnerability Disclosure). Si bien no hemos visto ningún uso de esta técnica en la naturaleza, hemos tomado medidas para mantener a nuestros clientes seguros”, dijo Microsoft en una declaración.

Comparta este contenido
  • Seleccione su país -+

    Diario TI utiliza una plataforma GeoIP que automáticamente intenta detectar el país desde donde usted se conecta, para así presentarle contenidos regionales. Sin embargo, si la detección automática no es posible, usted puede seleccionar manualmente su país.