El equipo de Red Team de Jumpsec Labs, ha evidenciado a través de una investigación del 21 de junio, una brecha de seguridad que afectaría a las cuentas externas de Microsoft Teams permitiendo la introducción de malware en cualquier organización que use Microsoft Teams en su configuración predeterminada. Dicha configuración permite que los controles de seguridad sean omitidos del lado del cliente, para que otros usuarios que usen Teams (usuarios externos a la organización), envíen archivos con malware a los colaboradores internos, permitiendo establecer una puerta de entrada para posteriores operaciones que podían afectar a la organización objetivo.
Características de la vulnerabilidad
Permite que miembros externos de la organización envíen solicitudes de mensajes entrantes a miembros internos.
Ilustración 1: Banner de solicitud de mensaje entrante en Teams
Fuente: Jumpsec
Las solicitudes enviadas se establecen a través de una configuración de la solicitud POST enviada. Esto mediante la modificación del ID del destinatario interno y externo.
Ilustración 2: Carga útil entregada en bandeja de entrada de destino
Fuente: Jumpsec
La carga útil estará alojada en un dominio probablemente confiable para la víctima, como el Sharepoint, según dicen los investigadores, lo cual permitirá que el archivo se establezca como un descargable y no como un vínculo en la bandeja de entrada de Teams de la víctima.
Impacto
Apreciación
Si bien esta vulnerabilidad no fue considerada por microsoft como relevante según los investigadores, puede convertirse en una brecha de seguridad que los actores de amenaza podrían perfeccionar y usar ampliamente en sus operaciones, ya que de un modo u otro su objetivo es siempre y será idear nuevas tácticas, técnicas y procedimientos (TTP) que les permitan optimizar la entrega de la carga útil de malware de forma más eficiente, logrando obtener el acceso para establecer la puerta de entrada que explotará posteriores vulnerabilidades de las organizaciones víctimas, es por tanto imperativo que se sigan fortaleciendo las medidas de mitigación correspondientes para reducir al máximo las brechas de seguridad que puedan surgir.
Tipo | Indicador |
---|---|
. | . |