Microsoft Teams almacena tokens de autenticación de texto claro, no se parcheará rápidamente

Usar Teams en un navegador es en realidad más seguro que usar las aplicaciones de escritorio de Microsoft, que están envueltas alrededor de un navegador.  Es mucho para trabajar.
Agrandar / Usar Teams en un navegador es en realidad más seguro que usar las aplicaciones de escritorio de Microsoft, que están envueltas alrededor de un navegador. Es mucho para trabajar.

El cliente Teams de Microsoft almacena los tokens de autenticación de los usuarios en un formato de texto desprotegido, lo que potencialmente permite a los atacantes con acceso local publicar mensajes y moverse lateralmente a través de una organización, incluso con la autenticación de dos factores habilitada, según una empresa de ciberseguridad.

Vectra recomienda evitar el cliente de escritorio de Microsoft, creado con el marco Electron para crear aplicaciones a partir de tecnologías de navegador, hasta que Microsoft haya reparado la falla. Usar el cliente de Teams basado en la web dentro de un navegador como Microsoft Edge es, paradójicamente, más seguro, afirma Vectra. El problema informado afecta a los usuarios de Windows, Mac y Linux.

Microsoft, por su parte, cree que el exploit de Vectra “no cumple con nuestro estándar de servicio inmediato”, ya que re queriría otras vulnerabilidades para ingresar a la red en primer lugar. Un portavoz le dijo a Dark Reading

que la compañía “considerará abordar (el problema) en un lanzamiento futuro del producto”.

Investigadores de Vectra descubrió la vulnerabilidad mientras ayudaba a un cliente que intentaba eliminar una cuenta deshabilitada de la configuración de sus equipos. Microsoft requiere que los usuarios inicien sesión para ser eliminados, por lo que Vectra investigó los datos de configuración de la cuenta local. Se propusieron eliminar las referencias a la cuenta iniciada. Lo que encontraron en su lugar, al buscar el nombre del usuario en los archivos de la aplicación, fueron fichas, claramente, que proporcionaban acceso a Skype y Outlook. Cada token que encontraron estaba activo y podía otorgar acceso sin desencadenar un desafío de dos factores.

Yendo más allá, crearon un exploit de prueba de concepto. Su versión descarga un motor SQLite en una carpeta local, lo usa para escanear el almacenamiento local de una aplicación de Teams en busca de un token de autenticación y luego envía al usuario un mensaje de alta prioridad con su propio texto de token. Las posibles consecuencias de este exploit son mayores que el phishing de algunos usuarios con sus propios tokens, por supuesto:

Cualquiera que instale y use el cliente de Microsoft Teams en este estado almacena las credenciales necesarias para realizar cualquier acción posible a través de la interfaz de usuario de Teams, incluso cuando Teams está apagado. Esto permite a los atacantes modificar archivos de SharePoint, correo y calendarios de Outlook y archivos de chat de Teams. Aún más dañino, los atacantes pueden alterar las comunicaciones legítimas dentro de una organización destruyendo, exfiltrando o participando en ataques de phishing selectivos. En este punto, no hay límite para la capacidad de un atacante de moverse por el entorno de su empresa.

Vectra señala que moverse a través del acceso de Teams de un usuario presenta un pozo particularmente rico para los ataques de phishing, ya que los actores malintencionados pueden hacerse pasar por directores ejecutivos u otros ejecutivos y buscar acciones y clics de empleados de nivel inferior. Es una estrategia conocida como Business Email Compromise (BEC); puedes leer sobre eso en el blog On the Issues de Microsoft.

Se ha descubierto que las aplicaciones de electrones albergan problemas de seguridad profundos antes. Una presentación de 2019 mostró cómo las vulnerabilidades del navegador podrían usarse para inyectar código en Skype, Slack, WhatsApp y otras aplicaciones de Electron. Se descubrió que la aplicación Electron de escritorio de WhatsApp tenía otra vulnerabilidad en 2020, que brinda acceso a archivos locales a través de JavaScript incrustado en los mensajes.

Nos comunicamos con Microsoft para obtener comentarios y actualizaremos esta publicación si recibimos una respuesta.

Vectra recomienda que los desarrolladores, si “deben usar Electron para su aplicación”, almacenen tokens OAuth de forma segura utilizando herramientas como KeyTar. Connor Peoples, arquitecto de seguridad de Vectra, le dijo a Dark Reading que cree que Microsoft se está alejando de Electron y cambiando hacia Progressive Web Apps, lo que brindaría una mejor seguridad a nivel del sistema operativo en torno a las cookies y el almacenamiento.

Leave a Reply

Your email address will not be published. Required fields are marked *