Compartieron detalles del descubrimiento de una vulnerabilidad en la app de escritorio de Microsoft Teams para Windows, Mac y Linux. El fallo permitiría que un actor malicioso con acceso a los archivos de un sistema que utilice Microsoft Teams pueda robar tokens de autenticación de un usuario o usuaria que haya iniciado sesión.
Esta vulnerabilidad está relacionada con el hecho de que la app de Microsoft Teams almacena, sin la debida protección, tokens de autenticación en texto sin formato. En este sentido, un atacante podría hacer uso de estos tokens de autenticación para iniciar sesión en la cuenta de la víctima, incluso si tienen habilitada la autenticación multifactor (MFA, por sus siglas en inglés). Además, como el atacante no necesita permisos elevados para leer estos archivos, puede ser aprovechada en cualquier ataque en el que hayan logrado acceso físico o remoto al sistema.
Microsoft Teams es una potente plataforma de comunicación y colaboración utilizada por empresas, instituciones educativas y usuarios que ofrece chat, videoconferencias y una gran cantidad de aplicaciones vinculadas a la organización de tareas y proyectos y gestión de información
El equipo de investigación de Vectra fue el que descubrió esta vulnerabilidad en agosto de 2022 y aseguraron que la reportaron a Microsoft. Sin embargo, el gigante tecnológico dijo que el fallo reportado no cumplía con los requisitos suficientes para el lanzamiento de un parche inmediato. Según manifestó un vocero de Microsoft al Bleeping Computer, la técnica que describe Vectra no cumple con sus parámetros para una respuesta inmediata, ya que requiere que primero el atacante obtenga acceso a la red de una víctima.
Los investigadores publicaron detalles del hallazgo y manifestaron que mientras trabajaban en una forma de remover cuentas antiguas de Teams se toparon con un archivo ldb que contenía tokens de acceso en texto sin formato, los cuales le permitieron acceder durante las pruebas que realizaron a las API de Outlook y Skype; con todo lo que eso implica.
Según explicaron, un aspecto clave para explicar este fallo tiene que ver con que Microsoft Teams es un desarrollo que se basa en el framework app Electron, utilizado para crear aplicaciones de escritorio capaces de ser ejecutadas en un navegador. Y si bien esto hace más sencillo el desarrollo, el uso de un navegador web en el contexto de una app presenta ciertos riesgos para la seguridad. Esto en parte se debe a que los desarrolladores de apps no comprenden completamente cómo funciona Electron, ya que, por ejemplo, este framework no soporta por defecto el cifrado o la protección de ubicación de archivos.
Para los especialistas preocupa el alcance que podría tener este hallazgo en un escenario en el cual atacantes logren comprometer varios equipos y puedan tomar el control de cuentas importantes.
GifShell: una técnica que utiliza archivos GIF maliciosos en Microsoft Teams
Además de esta vulnerabilidad, hace unas semanas se relevaron detalles de una nueva técnica que aprovecha una serie de vulnerabilidades y fallos en Microsoft Teams para utilizar la plataforma para ataques de phishing, el envío de archivos maliciosos, exfiltrar datos o incluso enviar comandos. Todo a través de un archivo GIF. La técnica fue apodada GIFShell y fue descubierta por el investigador Bobby Raunch.