Un Gif malicioso podría robar tus cuentas de Microsoft Teams

Comparte este post en tus redes sociales

Microsoft Teams

Con tan sólo abrir el GIF

Un GIF podría haber permitido a un cibercriminal infiltrarse, robar datos e incluso tomar el control de las cuentas de toda una organización a traves de Microsoft Teams.

El ataque se aprovecho de una vulnerabilidad de adquisición de subdominio (subdomain takeover) en MS Teams. Los usuarios que utilizan la version de escritorio o de navegador web estarían comprometidos con esta amenaza.

El Impacto de esta vulnerabilidad resulta ser alto, ya que los usuarios no tendrían que compartir el GIF, con solo verlo se verian afectados. Estas vulnerabilidades tienen la capacidad de propagarse automáticamente.

Esta vulnerabilidad fue descubierta por un grupo de investigadores de CyberArk, quienes trabajaron con el Centro de Investigación de Seguridad de Microsoft para la divulgación de la misma, una vez mitigado el error.

La vulnerabilidad ya ha sido corregida

GiF

Microsoft eliminó rápidamente los registros DNS mal configurados de los dos subdominios, que estaban expuestos. Además, Microsoft ha impulsado más mitigaciones durante el transcurso del tiempo y continúa desarrollando más funciones de seguridad para evitar fallas similares en el futuro.

Cada vez que se inicia la aplicación, su cliente crea un nuevo token de acceso. Este token de acceso, en forma de JWT (JSON Web Token), es creado por el servidor de autenticación: login.microsoftonline.com

Además del token de acceso inicial, hay muchos otros creados para MS Teams, algunos de los cuales se utilizan para acceder a diferentes servicios como SharePoint, Outlook y muchos más. El cliente usa uno de estos tokens creados para permitir que un usuario vea imágenes compartidas en sus diferente chats. Estas imagenes se almacenan en los servidores de Microsoft, que aplica el control de autorización. Este token, llamado “skype token”, también se puede ver como una cookie llamada “skypetoken_ams”.

Es aquí donde surge el problema. La carga de imágenes es un poco más complicada, y para resolver el problema, MS Teams usa las “skypetoken_ams” y dos subdominios que fueron previamente vulnerables a un ataque de adquisición.

Microsoft se enteró del problema en marzo y rápidamente corrigió los registros DNS mal configurados que hicieron posible este ataque. Luego emitió un parche para proteger aún más a los usuarios de este tipo de ataque. No está claro si esto alguna vez fue explotado activamente.

En cualquier caso, si eres usuario de la aplicación y has recibido últimamente algún GIF que te haga dudar de su legitimidad, lo mejor es que cambies tus datos de acceso a tu cuenta.

Fuente: CyberArk


Comparte este post en tus redes sociales