Los atacantes que obtienen acceso inicial a la red de una víctima ahora tienen otro método para ampliar su alcance: usar tokens de acceso de otros usuarios de Microsoft Teams para hacerse pasar por esos empleados y explotar su confianza.
Esto es según la empresa de seguridad Vectra, que declaró en un aviso del 13 de septiembre que Microsoft Teams almacena tokens de autenticación sin cifrar, lo que permite a cualquier usuario acceder al archivo secreto sin necesidad de permisos especiales. Según la firma, un atacante con acceso al sistema local o remoto puede robar las credenciales de cualquier usuario actualmente en línea y hacerse pasar por él, incluso cuando no está conectado, y hacerse pasar por el usuario a través de cualquier función asociada, como Skype, y evitar la autenticación multifactor ( Ministerio de Asuntos Exteriores).
Esta debilidad les da a los atacantes la capacidad de moverse a través de la red de una empresa mucho más fácilmente, dice Connor Peoples, arquitecto de seguridad de Vectra, una firma de ciberseguridad con sede en San José, California.
"Esto permite múltiples formas de ataques, incluida la manipulación de datos, el phishing, el compromiso de la identidad, y podría conducir a la interrupción del negocio si se aplica la ingeniería social adecuada al acceso", afirma, señalando que los atacantes pueden "alterar las comunicaciones legítimas dentro de una organización". destruyendo, exfiltrando o participando en ataques de phishing dirigidos de forma selectiva”.
Vectra descubrió el problema cuando los investigadores de la compañía examinaron Microsoft Teams en nombre de un cliente, buscando formas de eliminar usuarios inactivos, una acción que Teams normalmente no permite. En cambio, los investigadores encontraron un archivo que almacenaba tokens de acceso en texto sin cifrar, lo que les daba la posibilidad de conectarse a Skype y Outlook a través de sus API. Debido a que Microsoft Teams reúne una variedad de servicios, incluidas aquellas aplicaciones, SharePoint y otros, a los que el software requiere tokens para obtener acceso, Vectra declarado en el aviso.
Con los tokens, un atacante no sólo puede obtener acceso a cualquier servicio como usuario actualmente en línea, sino también eludir MFA porque la existencia de un token válido generalmente significa que el usuario ha proporcionado un segundo factor.
Al final, el ataque no requiere permisos especiales ni malware avanzado para otorgar a los atacantes suficiente acceso como para causar dificultades internas a una empresa objetivo, afirma el aviso.
"Con suficientes máquinas comprometidas, los atacantes pueden orquestar las comunicaciones dentro de una organización", afirmó la empresa en el aviso. “Asumiendo el control total de puestos críticos, como el jefe de ingeniería, el director ejecutivo o el director financiero de una empresa, los atacantes pueden convencer a los usuarios para que realicen tareas perjudiciales para la organización. ¿Cómo se practican las pruebas de phishing para esto?
Microsoft: no es necesario ningún parche
Microsoft reconoció los problemas, pero dijo que el hecho de que el atacante ya debía haber comprometido un sistema en la red objetivo reducía la amenaza planteada y optó por no parchear.
"La técnica descrita no cumple con nuestro estándar de servicio inmediato, ya que requiere que un atacante primero obtenga acceso a una red objetivo", dijo un portavoz de Microsoft en un comunicado enviado a Dark Reading. "Apreciamos la asociación de Vectra Protect para identificar y divulgar responsablemente este problema y consideraremos abordarlo en un lanzamiento futuro del producto".
En 2019, se lanzó el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP). una lista de los 10 principales problemas de seguridad de API. El problema actual podría considerarse una autenticación de usuario rota o una mala configuración de seguridad, los problemas clasificados en segundo y séptimo lugar de la lista.
"Veo esta vulnerabilidad principalmente como otro medio para el movimiento lateral, esencialmente otra vía para una herramienta tipo Mimikatz", dice John Bambenek, principal cazador de amenazas en Netenrich, un proveedor de servicios de análisis y operaciones de seguridad.
Una razón clave para la existencia de la debilidad de seguridad es que Microsoft Teams se basa en el marco de aplicaciones Electron, que permite a las empresas crear software basado en JavaScript, HTML y CSS. A medida que la empresa se aleje de esa plataforma, podrá eliminar la vulnerabilidad, afirma Vectra's Peoples.
"Microsoft está haciendo un gran esfuerzo para avanzar hacia las aplicaciones web progresivas, lo que mitigaría muchas de las preocupaciones que plantea actualmente Electron", afirma. "En lugar de rediseñar la aplicación Electron, supongo que están dedicando más recursos al estado futuro".
Vectra recomienda que las empresas utilicen la versión basada en navegador de Microsoft Teams, que tiene suficientes controles de seguridad para evitar la explotación de los problemas. Los clientes que necesiten utilizar la aplicación de escritorio deben "vigilar los archivos clave de la aplicación para acceder a ellos mediante cualquier proceso que no sea la aplicación oficial de Teams", afirmó Vectra en el aviso.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
