Microsoft Teams almacena tokens de autenticación en modo de texto sin cifrar , lo que permite a los atacantes controlar potencialmente las comunicaciones dentro de una organización, según la firma de seguridad Vectra. La falla afecta a la aplicación de escritorio para Windows, Mac y Linux construida con el marco Electron de Microsoft. Microsoft es consciente del problema, pero dijo que no tiene planes para una solución en el corto plazo, ya que un exploit también requeriría acceso a la red.
Según Vectra, un hacker con acceso al sistema local o remoto podría robar las credenciales de cualquier usuario de Teams actualmente en línea, y luego hacerse pasar por ellos incluso cuando están fuera de línea. También podrían fingir ser el usuario a través de aplicaciones asociadas con Teams, como Skype o Outlook, mientras evitan la autenticación multifactor (MFA) que generalmente se requiere.
“Esto permite a los atacantes modificar archivos de SharePoint, correo y calendarios de Outlook, y archivos de chat de Teams”, escribió el arquitecto de seguridad de Vectra Connor Peoples. “Aún más dañino, los atacantes pueden alterar las comunicaciones legítimas dentro de una organización destruyendo, filtrando o participando selectivamente en ataques de phishing dirigidos”.
Los atacantes pueden alterar las comunicaciones legítimas dentro de una organización destruyendo, filtrando o participando selectivamente en ataques de phishing dirigidos.
Vectra creó un exploit de prueba de concepto que les permitió enviar un mensaje a la cuenta del titular de la credencial a través de un token de acceso. “Asumiendo el control total de los puestos críticos, como el Jefe de Ingeniería, CEO o CFO de una empresa, los atacantes pueden convencer a los usuarios de realizar tareas perjudiciales para la organización”.
El problema se limita principalmente a la aplicación de escritorio, porque el marco Electron (que esencialmente crea un puerto de aplicación web) no tiene “controles de seguridad adicionales para proteger los datos de las cookies”, a diferencia de los navegadores web modernos. Como tal, Vectra recomienda no usar la aplicación de escritorio hasta que se cree un parche, y usar la aplicación web en su lugar.
Cuando el sitio de noticias de ciberseguridad Dark Reading informó de la vulnerabilidad, Microsoft dijo que “no cumple con nuestro requisito de servicio inmediato, ya que requiere que un atacante primero obtenga acceso a una red de destino”, y agregó que consideraría abordarla en un futuro lanzamiento del producto.
Sin embargo, el cazador de amenazas John Bambenek dijo a Dark Reading que podría proporcionar un medio secundario para el “movimiento lateral” en caso de una violación de la red. También señaló que Microsoft se está moviendo hacia progressive Web Apps que “mitigaría muchas de las preocupaciones que actualmente trae Electron”.
