Microsoft Teams almacena tokens de autenticación en texto claro que no se parcheará rápidamente
El cliente de Microsoft Teams almacena tokens de autenticación de usuario en un formato de texto no seguro, lo que potencialmente permite a los atacantes con acceso local publicar mensajes y moverse por la organización incluso con la autenticación de dos factores habilitada, según la compañía de ciberseguridad.
Vectra recomienda evitar el cliente de escritorio de Microsoft creado con la plataforma Electron para crear aplicaciones que utilizan tecnologías de navegador hasta que Microsoft corrija la falla. Usar el cliente web de Teams dentro de un navegador como Microsoft Edge es, paradójicamente, más seguro, afirma Vectra. El problema informado afecta a los usuarios de Windows, Mac y Linux.
Microsoft, por su parte, cree que el exploit Vectra “no cumple con nuestro estándar de servicio inmediato”, ya que se requerirían otras vulnerabilidades para infiltrarse en la red en primer lugar. Un portavoz le dijo a Dark Reading que la compañía «buscaría resolver (el problema) en un futuro lanzamiento de producto».
Los investigadores de Vectra descubrieron la vulnerabilidad mientras ayudaban a un cliente que intentaba eliminar una cuenta deshabilitada de la configuración de sus equipos. Microsoft requiere que los usuarios inicien sesión para desinstalar, por lo que Vectra investigó los datos de configuración de la cuenta local. Tenían la intención de eliminar los enlaces a la cuenta iniciada. En cambio, cuando buscaron el nombre de usuario en los archivos de la aplicación, encontraron tokens que otorgan acceso a Skype y Outlook. Cada token encontrado estaba activo y podía otorgar acceso sin activar la verificación de dos factores.
Yendo más allá, crearon un exploit experimental. Su versión descarga el motor SQLite en una carpeta local, lo usa para escanear el almacenamiento local de la aplicación Teams en busca de un token de autenticación y luego envía un mensaje de alta prioridad al usuario con el propio texto del token. Las posibles consecuencias de este exploit son, por supuesto, más que el phishing a algunos usuarios con sus propios tokens:
Cualquiera que instale y use el cliente de Microsoft Teams en este estado conserva las credenciales necesarias para realizar cualquier acción posible a través de la interfaz de usuario de Teams, incluso cuando Teams está cerrado. Esto permite a los atacantes modificar archivos de SharePoint, correo y calendarios de Outlook y archivos de chat de Teams. Aún más peligroso es que los atacantes puedan interferir con las comunicaciones legítimas dentro de una organización mediante la destrucción selectiva, la exfiltración o la participación en ataques de phishing dirigidos. Por el momento, la capacidad de un atacante para moverse en el entorno de su empresa no está limitada.
Vectra señala que navegar a través del acceso de los usuarios a Teams es una fuente particularmente rica de ataques de phishing, ya que los atacantes pueden hacerse pasar por directores ejecutivos u otros ejecutivos y solicitar acciones y clics de empleados de nivel inferior. Esta es una estrategia conocida como compromiso de correo electrónico comercial (BEC); puede leer sobre esto en el blog de Microsoft Sobre los problemas .
Anteriormente se descubrió que las aplicaciones de electrones contenían problemas de seguridad graves. Una presentación de 2019 mostró cómo se pueden explotar las vulnerabilidades del navegador para inyectar código en Skype, Slack, WhatsApp y otras aplicaciones de Electron. En 2020, se descubrió otra vulnerabilidad en la aplicación de escritorio WhatsApp Electron, que permitía el acceso local a archivos a través de JavaScript incrustado en los mensajes.
Nos comunicamos con Microsoft para obtener comentarios y actualizaremos esta publicación si recibimos una respuesta.
Vectra recomienda que los desarrolladores, si «necesitan usar Electron para su aplicación», almacenen tokens OAuth de forma segura utilizando herramientas como KeyTar. Connor Peoples, arquitecto de seguridad de Vectra, le dijo a Dark Reading que cree que Microsoft se está alejando de Electron y avanzando hacia Progressive Web Apps, que proporcionará una mejor seguridad a nivel del sistema operativo con respecto a las cookies y el almacenamiento.
Deja una respuesta