Microsoft Teams almacena tokens de autenticación en modo de texto sin cifrar, lo que permite a los atacantes controlar potencialmente las comunicaciones dentro de una organización, según la empresa de seguridad Vectra. La falla afecta a la aplicación de escritorio para Windows, Mac y Linux creada con el marco Electron de Microsoft. Microsoft está al tanto del problema, pero dijo que no tiene planes de solucionarlo en el corto plazo, ya que un exploit también requeriría acceso a la red.
Según Vectra, un pirata informático con acceso al sistema local o remoto podría robar las credenciales de cualquier usuario de Teams que esté actualmente en línea y luego hacerse pasar por él incluso cuando no esté conectado. También podrían pretender ser el usuario a través de aplicaciones asociadas con Teams, como Skype o Outlook, sin pasar por la autenticación multifactor (MFA) que generalmente se requiere.
«Esto permite a los atacantes modificar archivos de SharePoint, correo y calendarios de Outlook y archivos de chat de Teams», escribió el arquitecto de seguridad de Vectra, Connor Peoples. «Aún más dañino, los atacantes pueden alterar las comunicaciones legítimas dentro de una organización destruyendo, exfiltrando o participando en ataques de phishing selectivos».
Los atacantes pueden alterar las comunicaciones legítimas dentro de una organización mediante la destrucción selectiva, la exfiltración o la participación en ataques de phishing dirigidos.
Vectra creó un exploit de prueba de concepto que les permitió enviar un mensaje a la cuenta del titular de la credencial a través de un token de acceso. «Asumiendo el control total de los puestos críticos, como el jefe de ingeniería, el director ejecutivo o el director financiero de una empresa, los atacantes pueden convencer a los usuarios para que realicen tareas perjudiciales para la organización».
El problema se limita principalmente a la aplicación de escritorio, porque el marco Electron (que esencialmente crea un puerto de aplicación web) «no tiene controles de seguridad adicionales para proteger los datos de las cookies», a diferencia de los navegadores web modernos. Como tal, Vectra recomienda no usar la aplicación de escritorio hasta que se cree un parche y usar la aplicación web en su lugar.
Cuando sea informado por el sitio de noticias de ciberseguridad Lectura oscura de la vulnerabilidad, Microsoft dijo que «no cumple con nuestro estándar de servicio inmediato, ya que requiere que un atacante primero obtenga acceso a una red de destino», y agregó que consideraría abordarlo en una futura versión del producto.
Sin embargo, el cazador de amenazas John Bambenek dijo Lectura oscura podría proporcionar un medio secundario para el «movimiento lateral» en caso de una brecha en la red. También señaló que Microsoft se está moviendo hacia las aplicaciones web progresivas que «mitigarían muchas de las preocupaciones que plantea actualmente Electron».
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.