Microsoft Teams se actualiza debido a robo de contraseñas

En la última semana el equipo de Microsoft redobló los esfuerzos para llevar a cabo una actualización de emergencia en su plataforma de comunicaciones integrada, Teams. Días atrás se había revelado como una vulnerabilidad en su plataforma permitía a piratas informáticos robar cuentas de usuarios por medio de un GIF, el cual únicamente con visualizarlo se completaba el ataque de forma efectiva.

Este servicio de Microsoft ha tomado mucho auge en el ambiente empresarial, debido a la integración con el resto de productos que la compañía ofrece, tal es el caso de Excel, Outlook, Access, InfoPath, etc. sin embargo debido a la cuarentena que se vive en todo el mundo el trabajo desde casa o WFH (Work From Home) ha tomado un auge importante, misma razón por la cual los puestos de trabajo remoto se han convertido en el mayor atractivo para los atacantes, en especial porque al acceder a sistemas de información corporativos una gran mayoría no cuenta con los requerimientos mínimos de seguridad para llevar a cabo estas tareas, sin embargo estamos aun iniciando esa fase de acomplamiento.

El primero en revelar los datos fue la empresa de ciberseguridad CyberARK, quienes mostraron como un subdominio previamente comprometido para alojar imágenes se encargaba de robar tokens de seguridad cuando un usuario accedía a su servidor para ver una imagen.


Dentro de la infraestructura de Microsoft encontraron que dos de sus subdominios eran vulnerables a adquisiciones públicas sin el requisito de seguridad, los dominios son:


- aadsync-test.teams.microsoft.com

   - data-dev.teams.microsoft.com


Si el atacante lograba re direccionar al usuario a visitar cualquier de los subdominios de los cuales tiene control por medio de la adquisición fraudulenta, entonces el navegador de la víctima iniciaba la transferencia cookies hacia dicho subdominio (el token automático) con el cual el atacante ya registraba la cuenta en Skype, luego de esto iniciaba el robo de información.


En términos específicos el atacante debe emitir un certificado de seguridad para los subdominios que han sido comprometidos, esto debido a que la cookie “authtoken” está marcada como segura, lo que quiere decir que solo será transmitida por medio del navegador a través de un canal seguro: HTTPS.


Evidentemente los emisores de certificados de seguridad tienen sus métodos para que un usuario demuestre que es propietario de un dominio o subdominio, una de las formas más tradicionales es pedirle al propietario del dominio que cargue un archivo en el servidor donde se encuentra alojado el mismo, lo cual es la parte más sencilla del ataque ya que el servidor también se encuentra comprometido.


La parte más impactante de esto es que las víctimas no sabrán si fueron atacadas, debido a lo silencioso del procedimiento que cumple con su función a cabalidad: extraer información sensible.


De momento lo recomendable para todos los usuarios activos de Teams, en especial los que disfrutan de compartir contenido multimedia por dicha plataforma, es que actualicen su aplicación a la versión más reciente y que actualicen sus claves de acceso.

  • Negro Facebook Icono
  • Icono negro LinkedIn

3a Avenida 17-38 zona 12, 01012  -  Ciudad de Guatemala, Guatemala

Todos los derechos reservados. CentraRED - Central de Redes y Tecnología 2020.