Microsoft Teams almacena tokens de autenticación en claro
3 min readEquipos de Microsoft almacena tokens de autenticación en modo de texto sin formato sin cifrar, lo que permite a los atacantes controlar potencialmente las comunicaciones dentro de una organización, según la empresa de seguridad Vectra. La falla afecta a la aplicación de escritorio para Windows, Mac y Linux creada con el marco Electron de Microsoft. Microsoft está al tanto del problema, pero dijo que no tiene planes de solucionarlo pronto, ya que un exploit también requeriría acceso a la red.
Según Vectra, un pirata informático con acceso al sistema local o remoto podría robar las credenciales de cualquier usuario de Teams que esté actualmente en línea y luego hacerse pasar por él incluso cuando no esté conectado. También podrían pretender ser el usuario a través de aplicaciones asociadas con Teams, como Skype o Outlook, mientras omiten la autenticación multifactor (MFA) generalmente requerida.
“Esto permite a los atacantes modificar archivos de SharePoint, correo electrónico y calendarios de Outlook y archivos de chat de Teams”, escribió el arquitecto de seguridad de Vectra, Connor Peoples. “Aún más dañino, los atacantes pueden alterar las comunicaciones legítimas dentro de una organización apagando, exfiltrando o participando en ataques de phishing selectivos”.
Los atacantes pueden alterar las comunicaciones legítimas dentro de una organización mediante la destrucción selectiva, la exfiltración o la participación en ataques de phishing dirigidos.
Vectra creó un exploit de prueba de concepto que les permitió enviar un mensaje a la cuenta del titular de la credencial a través de un token de acceso. “Al asumir el control total de los puestos críticos, como el gerente de ingeniería, el director ejecutivo o el director financiero de una empresa, los atacantes pueden engañar a los usuarios para que realicen tareas que son perjudiciales para la organización”.
El problema se limita principalmente a la aplicación de escritorio, ya que el marco Electron (que esencialmente crea un puerto de aplicación web) “no tiene controles de seguridad adicionales para proteger los datos de las cookies”, a diferencia de los navegadores web modernos. Como tal, Vectra recomienda no usar la aplicación de escritorio hasta que se publique una solución, y usar la aplicación web en su lugar.
Al ser informado por el sitio de noticias de ciberseguridad lectura oscura de la vulnerabilidad, Microsoft dijo que “no alcanza nuestra barra de servicio inmediato porque requiere que un atacante primero obtenga acceso a una red de destino”, y agregó que consideraría abordarlo en una versión futura del producto de vulnerabilidad.
Sin embargo, el cazador de amenazas John Bambenek dijo lectura oscura podría proporcionar un medio secundario de “desplazamiento lateral” en caso de una brecha en la red. También señaló que Microsoft se está moviendo hacia Aplicaciones web progresivas esto “aliviaría muchas de las preocupaciones planteadas actualmente por Electron”.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.