seguridad

Microsoft Teams ha podido hackearse con un simple GIF

27 deAbril, 2020

escrito por

OneIt

El fallo puede recordar al que afectó a WhatsApp hace un tiempo, donde se podía hackear a un usuario con sólo enviar un GIF. En este caso, el tomar un control de un subdominio de Microsoft permite a un hacker robar credenciales de acceso, enviar imágenes infectadas, y tomar el control de todas las cuentas de una empresa al completo.

El token de acceso, puerta de acceso de los hackers


El fallo afecta tanto a las versiones de escritorio como a la versión web, y el usuario no tiene ni siquiera que abrir el GIF o compartirlo. Con sólo recibirlo ya puede ser infectado, donde al leer el GIF el token de acceso de la cuenta de Teams es enviado al atacante. Así, el atacante puede tomar el control de la cuenta del usuario, obtener sus mensajes y enviar otros nuevos para infectar a más víctimas.

El fallo radica en que Microsoft envía el JSON Web Token (authtoken) y el Skype token al dominio teams.microsoft.com para que un miembro de Teams puede ver imágenes compartidas con ellos. El problema es que esa información también se envía a cualquier subdominio de esa dirección.

Microsoft es conocida por tener este fallo de manera recurrente, donde registra dominios en sus servicios y luego, cuando deja de utilizarlos, no deja de redirigir a ellos. Por ello, un atacante puede comprar esos dominios y recibir toda la información que Microsoft siga mandando a ellos. En este caso, los dos dominios que descubrieron desde CyberArk fueron aadsync-test.teams.microsoft.com y data-dev.teams.microsoft.com, que podían comprarse por cualquier persona. Lo único que hacía falta ya era redirigir a un usuario a esos enlaces, y ya podían tomar el control de cualquier grupo de Teams.

Microsoft ha solucionado el fallo, pero otro aparecerá seguro

Microsoft Teams contaba en marzo con 44 millones de usuarios activos diarios, y seguramente la cifra sea mayor ahora conforme más empresas están teletrabajando. Es por ello que hay atacantes que buscan más que nunca tomar el control de aplicaciones de escritorio remoto y mensajería, como Zoom, donde pueden rentabilizar mucho el robar información confidencial.

En el caso del fallo de Teams, descubierto por CyberArk, el fallo se puede aprovechar por la forma en la que la app gestiona los recursos gráficos como los GIFs. Cada usuario infectado puede convertirse en un punto de diseminación, donde al poder enviarse imágenes en los grupos, la tasa de infección se acelera exponencialmente. Además, al ser una ataque encubierto, para cuando éste ha sido detectado, la mayoría de usuarios ya se encuentran infectados.

Microsoft afirma que el fallo no ha sido aprovechado por atacantes. La solución la aplicaron el pasado lunes 20 de abril, casi un mes después de que CyberArk les reportase el fallo el pasado 23 de marzo. La solución era simplemente eliminar los registros de DNS de esos dos dominios, lo cual llevan años pidiendo multitud de empresas de ciberseguridad que se haga de manera automática por cualquier dominio que Microsoft deja de usar. Hasta que Microsoft no lo automatice, seguirán apareciendo este tipo de ataques contra sus servicios.