Todas las novedades

Vulnerabilidad en Teams - Junio 2023

Recientemente, en el mes de junio, se publicó una vulnerabilidad que afecta a la aplicación Teams de Microsoft en la que, debido a la inseguridad en la configuración de predeterminada, la aplicación permite a fuentes externas el envío de archivos a los empleados de una organización.

photo de SCASSI
SCASSI
vulnerabilidad teams red team scassi

La importancia de esta brecha de seguridad se hace eco ante el elevado porcentaje de empresas que hacen uso de esta aplicación de mensajería e intercambio de archivos, propiedad de Microsoft.

La vulnerabilidad, que actúa como un método de phishing, fue descubierta por el equipo de Red Team de Jumpsec, quienes advierten de la posibilidad de, como usuario externo a la organización, introducir malware en los archivos enviados a los usuarios de una empresa a través de la aplicación.

Los atacantes aprovechan la falta de seguridad presente en las protecciones del lado del cliente de la aplicación, las cuales pueden ser explotadas para conseguir que un usuario externo de la organización sea considerado como interno simplemente cambiando el ID en la solicitud POST de un mensaje, lo que se conoce como una vulnerabilidad IDOR (Referencia de Objeto Directo Inseguro).

Por ahora, y hasta que por parte de Microsoft no se tomen las medidas oportunas para abordar esta brecha de seguridad, se recomienda configurar la aplicación de Teams de forma en la que solo se permitan las comunicaciones internas, desactivando la posibilidad de mantener comunicaciones con miembros externos a la misma, siempre y cuando no sea estrictamente necesario. Además, también recomienda la creación de una lista de dominios confiables que limiten el riesgo de explotación, evitando que actores malintencionados abusen de la configuración predeterminada.

Aprovechando la brecha de seguridad identificada, el investigador de seguridad Alex Reid ha desarrollado una herramienta llamada TeamsPhisher, la cual esta codificada en Python. Esta aplicación automatiza por completo este tipo de ataque. El software combina los conceptos utilizados en los ataques realizados por el personal de seguridad de la compañía Jumpsec, las técnicas desarrolladas por Andrea Santese y las funciones de autenticación y asistencia de la herramienta TeamsEnum, la cual fue creada por Bastian Kanbach.

El funcionamiento de la herramienta es muy sencillo, ya que sólo se debe proporcionar un elemento a adjuntar, el mensaje a distribuir y la lista de objetivos de usuarios de Teams. Con estos datos, la herramienta carga el adjunto en el Sharepoint del remitente y luego itera a través de la lista de objetivos para realizar el envío del mensaje.

Una vez verificado, el software crea un nuevo hilo de conversación con el objetivo, enviándole un mensaje que incluye el enlace para acceder al archivo adjunto del Sharepoint. Este hilo aparece en la interfaz de Teams del remitente, lo que permite una posible interacción manual por parte del usuario objetivo.

Cabe destacar que TeamsPhisher requiere que los usuarios tengan una cuenta comercial de Microsoft (también admite MFA), con una licencia válida de Teams y Sharepoint, lo cual es algo común para la mayoría de las empresas.

Además, la herramienta ofrece un “modo de vista previa” que permite al usuario que la ejecuta verificar la lista de objetivos establecida, pudiendo revisar la apariencia que mostrarán los mensajes desde la perspectiva del destinatario.

A continuación, se especifican los requisitos que se deben cumplir para hacer uso de la herramienta TeamsPhisher:

  • Preparación del ataque:
  1. Elemento que se desee adjuntar al mensaje que se compartirá con el usuario objetivo. Este elemento se cargará en el SharePoint de la organización que recibe el ataque para no levantar sospecha entre los receptores.

  2. Mensaje para distribuir.

  3. Lista de usuarios objetivos pertenecientes a una misma organización a los cuales se les enviará el mensaje fraudulento.

  • Requisitos para que el ataque pueda realizarse:
  1. Los destinatarios del mensaje deben disponer de una cuenta comercial de Microsoft que cuente con una licencia válida de Teams y de SharePoint.

  2. El aplicativo del Office365 de la organización objetivo debe estar configurado para que permita recibir mensajes de usuarios externos a la organización.

En cuanto a la mitigación de esta brecha de seguridad, por ahora, y hasta que por parte de Microsoft no se tomen las medidas oportunas para abordar esta brecha de seguridad, se recomienda configurar la aplicación de Teams de forma en la que solo se permitan las comunicaciones internas, desactivando la posibilidad de mantener comunicaciones con miembros externos a la misma, siempre y cuando no sea estrictamente necesario. Además, también recomienda la creación de una lista blanca de dominios confiables, limitando así el riesgo de explotación y evitando que actores malintencionados abusen de la configuración predeterminada.

 

 

Fuente: https://www.helpnetsecurity.com/2023/06/23/microsoft-teams-deliver-malware/

Fuente Github: https://github.com/Octoberfest7/TeamsPhisher