Cómo una imagen podría haber permitido hackear cuentas de equipos de Microsoft
Microsoft ha parcheado una vulnerabilidad similar a un gusano en su plataforma colaborativa de chat y video chat Teams. Dicha vulnerabilidad podría haber permitido a los atacantes hacerse cargo de toda la lista de cuentas de Teams de una organización. Esto lo hubiesen hecho simplemente enviando a los participantes un enlace malicioso a una imagen de aspecto inocente.
Los investigadores de ciberseguridad de CyberArk descubrieron la falla, que afecta a las versiones de escritorio y web de la aplicación. Después de que los hallazgos se divulgaron de manera responsable el 23 de marzo, Microsoft parchó la vulnerabilidad en la actualización publicada hace una semana.
“Incluso si un atacante no reúne mucha información de la cuenta de un equipo, aún podría usar la cuenta para recorrer toda la organización. Por ejemplo, como un gusano”, dijo Omer Tsarfati de CyberArk.
“Eventualmente, el atacante podría acceder a todos los datos de las cuentas de los equipos de tu organización. Este podía recopilar información confidencial, reuniones e información de calendario, datos competitivos, secretos, contraseñas, información privada, planes de negocios, etc.”
El incidente se produce cuando el software de videoconferencia como Zoom y Microsoft Teams están presenciando un aumento sin precedentes en la demanda. Esto porque las empresas, los estudiantes e incluso los empleados gubernamentales de todo el mundo se ven obligados a trabajar desde su hogar. Esto producto de la pandemia del coronavirus.
Una vulnerabilidad de adquisición de subdominio
La falla se debe a la forma en que Microsoft Teams maneja la autenticación de los recursos de imagen. Cada vez que se abre la aplicación, se crea un token de acceso, un token web JSON (JWT) durante el proceso. El token permite al usuario ver imágenes compartidas por el individuo u otras personas en una conversación.
Los investigadores de CyberArk descubrieron que pudieron obtener una cookie (llamada “authtoken”) que otorga acceso a un servidor de recursos (api.spaces.skype.com). esta la usaron para crear el “token de skype” mencionado anteriormente, dando así permisos ilimitados para enviar mensajes y leer mensajes. También crearon grupos, agregaron nuevos usuarios o eliminar usuarios de grupos y cambiaron permisos en grupos a través de la API de Teams.
Eso no es todo. Dado que la cookie authtoken está configurada para enviarse a teams.microsoft.team o cualquiera de sus subdominios, los investigadores descubrieron dos subdominios que eran vulnerables a los ataques de toma de control. Estos subdominios eran aadsync-test.teams.microsoft.com y data-dev.teams.microsoft.com.
“Si un atacante de alguna manera puede obligar a un usuario a visitar los subdominios de los que se han apoderado, el navegador de la víctima enviará esta cookie al servidor del atacante. Posteriormente el atacante (después de recibir el token automático) puede crear un token de Skype”, declararon los investigadores.
“Después de hacer todo esto, el atacante puede robar los datos de la cuenta del equipo de la víctima”.
Ataque
Ahora armado con los subdominios comprometidos, un atacante podría explotar la falla simplemente enviando un enlace malicioso, digamos un GIF. Este puede sorprender a una víctima desprevenida o a todos los miembros de un chat grupal.
Por lo tanto, cuando los destinatarios abren el mensaje, el navegador intenta cargar la imagen, pero no antes de enviar las cookies al subdominio comprometido.
El ciberdelincuente puede usar esta cookie de autenticación automática para crear un token de Skype y, por lo tanto, acceder a todos los datos de la víctima. Peor aún, el ataque puede ser montado por cualquier extraño. Esto siempre que la interacción implique una interfaz de chat, como una invitación a una llamada de conferencia para una posible entrevista de trabajo.
“La víctima nunca sabrá que ha sido atacada, lo que hace que la explotación de esta vulnerabilidad sea sigilosa y peligrosa”, dijeron los investigadores.
Ataques temáticos de videoconferencia en aumento
El cambio al teletrabajo debido a la pandemia de COVID-19 y la creciente demanda de servicios de videoconferencia se han convertido en una táctica lucrativa. Los atacantes están aprovechando la pandemia para robar credenciales y distribuir malware.
Investigaciones recientes de Proofpoint and Abnormal Security descubrieron campañas de ingeniería social que solicitan a los usuarios unirse a una reunión de Zoom. También abordan una vulnerabilidad de seguridad de Cisco WebEx haciendo clic en enlaces maliciosos diseñados para robar credenciales de inicio de sesión.
Ante tales amenazas emergentes, se recomienda que los usuarios estén atentos a las estafas de phishing. Además, deben asegurarse de que el software de videoconferencia se mantenga actualizado.
