Microsoft ha parcheado una vulnerabilidad peligrosa en su plataforma de colaboración Groups que habría permitido a los atacantes tomar el control de la lista completa de cuentas de Groups de una organización utilizando un GIF malicioso.
La vulnerabilidad es la última en resaltar los mayores riesgos que enfrentan las organizaciones por tener un alto porcentaje de sus empleados trabajando desde casa debido a la pandemia de COVID-19.
Los investigadores de CyberArk descubrieron la vulnerabilidad al examinar la seguridad de los equipos de Microsoft en marzo. Según el proveedor de seguridad, el problema tenía que ver con cómo se manejaba la información de autenticación cuando los usuarios compartían o veían imágenes que se compartían con ellos en la plataforma Groups.
El proceso ofreció a los atacantes una oportunidad para compartir imágenes GIF aparentemente inofensivas en los equipos que provocarían que la información de autenticación de un usuario se enganche y se use incorrectamente para que puedan tomar el handle de la cuenta de los equipos del usuario.
Omer Tsarfati, investigador de seguridad cibernética en CyberArk, dice que la vulnerabilidad en realidad se basa en una cadena de cosas que suceden. El primero es el hecho de que cada vez que un usuario inicia Teams, la plataforma establece una cookie llamada «authtoken». La cookie contiene un token de acceso que normalmente debe enviarse al dominio o subdominios teams-dot-Microsoft-dot-com de la organización debajo de él.
Durante la investigación, los investigadores de CyberArk descubrieron dos subdominios en teams-dot-Microsoft-dot-com que eran susceptibles a la adquisición de subdominios, una situación en la que un atacante podría hacerse pasar por los subdominios con fines maliciosos.
los los investigadores encontraron que si un atacante podría hacerse pasar por los subdominios y de alguna manera hacer que un usuario haga clic en un enlace que conduce a los subdominios, se les enviará el «authtoken» de la víctima. Esto permitiría al atacante tomar el «authtoken» y usarlo para crear otro token llamado «skypetoken». El atacante habría podido usar las dos fichas juntas para acceder a los datos de los equipos de la víctima.
«Un atacante podría simplemente enviar una imagen GIF maliciosa a un usuario objetivo, lo que proporcionará al atacante el token Teams del usuario», dice Tsarfati.
Lo que es particularmente interesante sobre esta falla es que el usuario solo necesita ver el GIF entrante para convertirse en una víctima, dice. «Después de robar la identidad de Teams de la primera víctima, el atacante podría hacerse pasar por él o ella y enviar GIF maliciosos a más empleados y grupos hasta que todo el entorno de Groups de la compañía se vea comprometido», dice Tsarfati.
En el peor de los casos, un atacante podría haber robado todos los mensajes pasados, ver calendarios, enviar y unirse a las reuniones del Equipo, y realizar otras actividades bajo la apariencia de un usuario legítimo. La vulnerabilidad dio a los atacantes una oportunidad para hacerse pasar por empleados y pedir información confidencial, como informes y restablecimientos de contraseña, dice Tsarfati.
Exposición incrementada
En las últimas semanas, las empresas han aumentado drásticamente su uso de plataformas de colaboración, como Groups, Zoom y Slack, para apoyar a los empleados obligados a trabajar desde casa debido a los mandatos de distanciamiento social de COVID-19. En muchos casos, las organizaciones de TI se han visto obligadas a soportar un aumento masivo en el uso de estas plataformas sin tener la oportunidad de examinarlas por completo por problemas de seguridad o implementar medidas de mitigación de riesgos.
«En un momento en que tantas organizaciones confían en las tecnologías de comunicación y colaboración para mantenerse conectadas entre sí, puede ser fácil no estar siempre alerta en lo que respecta a la seguridad», señala Tsarfati.
Los empleados deben sospechar de cualquier mensaje irregular y GIF que reciban de los usuarios, especialmente si no reconocen o no hablan regularmente con esa persona, dice. «Además, no comparta información confidencial, como contraseñas, en Groups ni en ninguna herramienta de colaboración», agrega Tsarfati. «Nunca se sabe quién puede estar escuchando».
Según CyberArk, Microsoft solucionó el problema de adquisición de subdominio dentro de un día de haber sido notificado del problema. Abordó el problema de seguridad relacionado con los GIF el 20 de abril.
Tim Mackey, estratega de seguridad principal de Synopsys CyRC, dice que la investigación de CyberArk muestra cómo los sistemas complejos como la plataforma Teams pueden proporcionar oportunidades para el ataque.
En este caso distinct, los atacantes habrían tenido dificultades para explotar la vulnerabilidad, dice. «En el caso de Teams, existe la posibilidad de alojar contenido en el sitio de Groups que es específico del cliente», dice Mackey. «Si un atacante va a crear un sitio ficticio que cuelga del sitio de Equipos del cliente, también necesitará aplicar un certificado SSL».
Esto podría ser complicado porque el atacante necesitaría contratar a una autoridad de certificación acreditada para emitir el certificado para el sitio falso.
«En el online video de PoC que CyberArk emitió nos muestra, la amenaza es significant para las organizaciones empresariales», dice Mackey. «Como objetivo, no tienes que hacer nada más que abrir un chat con un GIF malicioso para que el ataque se lleve a cabo».
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más concepts
