Error en cuentas externas de Microsoft Teams permite entrega de Malware

El equipo de Red Team de Jumpsec Labs, ha evidenciado a través de una investigación del 21 de junio, una brecha de seguridad que afectaría a las cuentas externas de  Microsoft Teams permitiendo la introducción de malware en cualquier organización que use Microsoft Teams en su configuración predeterminada. Dicha configuración permite que los controles de seguridad sean omitidos del lado del cliente, para que otros usuarios que usen Teams (usuarios externos a la organización), envíen archivos  con malware a los colaboradores internos, permitiendo establecer una puerta de entrada para posteriores operaciones que podían afectar a la organización objetivo. 

Características de la vulnerabilidad
 

Permite que miembros externos de la organización envíen solicitudes de mensajes entrantes a miembros internos.

_{Ilustración 1: Banner de solicitud de mensaje entrante en Teams}

_{Fuente: Jumpsec}

Las solicitudes enviadas se establecen a través de una configuración de la solicitud POST enviada. Esto mediante la modificación del ID del destinatario interno y externo.

_{Ilustración 2: Carga útil entregada en bandeja de entrada de destino}

_{Fuente: Jumpsec}

La carga útil estará alojada en un dominio probablemente confiable para la víctima, como el Sharepoint, según dicen los investigadores, lo cual permitirá que el archivo se establezca como un descargable y no como un vínculo en la bandeja de entrada de Teams de la víctima.    

Impacto 

• La vulnerabilidad sólo afecta a las organizaciones que usan Teams en su configuración predeterminada.
• Pasa por alto los controles de seguridad anti-phishing actuales.
• Los dominios M365 son sencillos de obtener y evitan la necesidad de utilizar dominios conocidos, con servidores web, páginas de destino, CAPTCHA, categorización de dominios y filtrado de URL.
• Evita el acto de hacer clic en enlaces de correo electrónico en su mayoría cubierto por las técnicas actuales.
• La vulnerabilidad se puede combinar con técnicas de  ingeniería social a través de Teams, en donde puede ser más fácil persuadir a las víctimas para iniciar una conversación de ida y vuelta, participar en una llamada, compartir pantallas y más.

Apreciación

Si bien esta vulnerabilidad no fue considerada por microsoft como relevante según los investigadores, puede convertirse en una brecha de seguridad que los actores de amenaza podrían perfeccionar y usar ampliamente en sus operaciones, ya que de un modo u otro su objetivo es siempre y será idear nuevas tácticas, técnicas y procedimientos (TTP) que les permitan optimizar la entrega de la carga útil de malware de forma más eficiente, logrando obtener el acceso para establecer la puerta de entrada que explotará posteriores vulnerabilidades de las organizaciones víctimas, es por tanto imperativo que se sigan fortaleciendo las medidas de mitigación correspondientes para reducir al máximo las brechas de seguridad que puedan surgir.

• Si no es necesidad de negocio la comunicación con otras organizaciones, proveedores de servicios y más a través de teams, refuerce los controles de seguridad y elimine la opción de “external tenant accounts”, lo puede hacer a través de Centro de administración de Microsoft Teams > Acceso externo.
• Si es necesaria la comunicación con externos a través de Teams, es aconsejable cambiar la configuración de seguridad para permitir sólo la comunicación con ciertos dominios incluidos en la lista de permitidos.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes[.]doc[.]scr).
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Utilizar servicios VPN en las redes Wi-Fi públicas. Evitar utilizar una red Wi-Fi pública para realizar transacciones sensibles o usar una VPN segura.
• Refuerce las campañas de instrucción al personal sobre la posibilidad de aplicaciones de productividad como Teams, Slack, Sharepoint, etc., para lanzar campañas de ingeniería social.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.