Home Sociedad Un fallo en Microsoft Teams, permite enviar malware desde cuentas externas

Un fallo en Microsoft Teams, permite enviar malware desde cuentas externas

Investigadores de seguridad han encontrado una forma sencilla de entregar malware a una organización con Microsoft Teams, a pesar de las restricciones de la aplicación para archivos de fuentes externas.

Con 280 millones de usuarios activos mensuales, Microsoft Teams ha sido adoptado por las organizaciones como una plataforma de comunicación y colaboración que forma parte de los servicios basados en la nube Microsoft 365.

Dada la popularidad del producto entre varias organizaciones, Max Corbridge y Tom Ellson -miembros del Equipo Rojo de la empresa de servicios de seguridad con sede en el Reino Unido Jumpsec, hurgaron y descubrieron una forma de entregar malware utilizando Microsoft Teams con una cuenta fuera de la organización objetivo.

El ataque funciona con Microsoft Teams ejecutando la configuración predeterminada, que permite la comunicación con cuentas de Microsoft Teams fuera de la empresa, normalmente denominadas “inquilinos externos.”

Corbridge explica en un informe que, si bien este puente de comunicación sería suficiente para ataques de ingeniería social y phishing, el método que encontraron es más poderoso, ya que permite enviar una carga maliciosa directamente a la bandeja de entrada de un objetivo.

Microsoft Teams cuenta con protecciones del lado del cliente para bloquear el envío de archivos desde cuentas de inquilinos externos.

Sin embargo, los dos miembros del Jumpsec Red Team descubrieron que podían saltarse la restricción cambiando el ID de destinatario interno y externo en la solicitud POST de un mensaje, engañando así al sistema para que tratara a un usuario externo como interno.

Al enviar la carga útil de esta forma, en realidad se aloja en un dominio de Sharepoint y el objetivo la descarga desde allí. Sin embargo, aparece en la bandeja de entrada del destinatario como un archivo, no como un enlace.

Los investigadores probaron la técnica sobre el terreno y consiguieron enviar una carga útil de mando y control a la bandeja de entrada de una organización objetivo, como parte de una intervención encubierta del equipo rojo.

Este ataque elude las medidas de seguridad existentes y los consejos de formación antiphishing, lo que ofrece a los atacantes una forma bastante fácil de infectar cualquier organización que utilice Microsoft Teams con su configuración predeterminada.

Además, si el atacante registra un dominio similar al de las organizaciones objetivo en Microsoft 365, sus mensajes podrían aparecer como si vinieran de alguien dentro de la organización, y no de un inquilino externo, aumentando así la probabilidad de que el objetivo descargue el archivo.

Los investigadores informaron de sus hallazgos a Microsoft, asumiendo que el impacto era lo suficientemente significativo como para garantizar una respuesta inmediata del gigante tecnológico.