Tag Microsoft Teams

Compartieron detalles del descubrimiento de una vulnerabilidad en la app de escritorio de Microsoft Teams para Windows, Mac y Linux. El fallo permitiría que un actor malicioso con acceso a los archivos de un sistema que utilice Microsoft Teams pueda robar tokens de autenticación de un usuario o usuaria que haya iniciado sesión.

Descubren una vulnerabilidad que permitiría a un atacante acceder a una archivo que contiene tokens de acceso en texto sin formato.

Esta vulnerabilidad está relacionada con el hecho de que la app de Microsoft Teams almacena, sin la debida protección, tokens de autenticación en texto sin formato. En este sentido, un atacante podría hacer uso de estos tokens de autenticación para iniciar sesión en la cuenta de la víctima, incluso si tienen habilitada la autenticación multifactor (MFA, por sus siglas en inglés). Además, como el atacante no necesita permisos elevados para leer estos archivos, puede ser aprovechada en cualquier ataque en el que hayan logrado acceso físico o remoto al sistema.

Microsoft Teams es una potente plataforma de comunicación y colaboración utilizada por empresas, instituciones educativas y usuarios que ofrece chat, videoconferencias y una gran cantidad de aplicaciones vinculadas a la organización de tareas y proyectos y gestión de información

El equipo de investigación de Vectra fue el que descubrió esta vulnerabilidad en agosto de 2022 y aseguraron que la reportaron a Microsoft. Sin embargo, el gigante tecnológico dijo que el fallo reportado no cumplía con los requisitos suficientes para el lanzamiento de un parche inmediato. Según manifestó un vocero de Microsoft al Bleeping Computer, la técnica que describe Vectra no cumple con sus parámetros para una respuesta inmediata, ya que requiere que primero el atacante obtenga acceso a la red de una víctima.

Los investigadores publicaron detalles del hallazgo y manifestaron que mientras trabajaban en una forma de remover cuentas antiguas de Teams se toparon con un archivo ldb que contenía tokens de acceso en texto sin formato, los cuales le permitieron acceder durante las pruebas que realizaron a las API de Outlook y Skype; con todo lo que eso implica.

Según explicaron, un aspecto clave para explicar este fallo tiene que ver con que Microsoft Teams es un desarrollo que se basa en el framework app Electron, utilizado para crear aplicaciones de escritorio capaces de ser ejecutadas en un navegador. Y si bien esto hace más sencillo el desarrollo, el uso de un navegador web en el contexto de una app presenta ciertos riesgos para la seguridad. Esto en parte se debe a que los desarrolladores de apps no comprenden completamente cómo funciona Electron, ya que, por ejemplo, este framework no soporta por defecto el cifrado o la protección de ubicación de archivos.

Para los especialistas preocupa el alcance que podría tener este hallazgo en un escenario en el cual atacantes logren comprometer varios equipos y puedan tomar el control de cuentas importantes.

GifShell: una técnica que utiliza archivos GIF maliciosos en Microsoft Teams

Además de esta vulnerabilidad, hace unas semanas se relevaron detalles de una nueva técnica que aprovecha una serie de vulnerabilidades y fallos en Microsoft Teams para utilizar la plataforma para ataques de phishing, el envío de archivos maliciosos, exfiltrar datos o incluso enviar comandos. Todo a través de un archivo GIF. La técnica fue apodada GIFShell y fue descubierta por el investigador Bobby Raunch.

Fuente: www.welivesecurity.com

Un actor malintencionado puede aprovecharse de la vulnerabilidad y utilizar Microsoft Teams para descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales

La plataforma Microsoft Teams presenta una vulnerabilidad que permite a un actor malintencionado insertar código malicioso en la aplicación y otorgarle al operador la posibilidad de ejecutar archivos en el sistema de forma arbitraria.

Para aquellos que no conocen la herramienta, Microsoft Teams es una plataforma de comunicación que unifica múltiples funcionalidades (chat, videoconferencias, almacenamiento de archivos y la posibilidad de utilizarlos de forma colaborativa, entre otras) que fue pensada para el uso empresarial y/o educativo, ya que permite armar comunidades o grupos de trabajo que pueden unirse a través de una URL o mediante una invitación.

El fallo que afecta a Teams radica Squirrel, un proyecto de código abierto que es utilizado para los procesos de instalación y actualización de la aplicación de escritorio y que a su vez utiliza el gestor de paquetes de código abierto NuGet para administrar archivos.

En este sentido, distintos investigadores de seguridad revelaron que a través de la ejecución de un comando de actualización puede un atacante aprovecharse del fallo para ejecutar código de manera arbitraria, explica BleepingComputer.

Otras aplicaciones que se ven afectadas por la misma razón son GitHub, WhatsApp y UiPath, aunque en estos casos solo puede explotar el fallo para descargar un payload.

En el caso de Microsoft Teams, al añadir un payload a su carpeta el mismo se ejecuta automáticamente utilizando cualquiera de los comandos Update.exe o squirrel.exe.

El fallo aún no fue reparado. Según el investigador Richard Reegun, quien fue uno de los que descubrió el fallo, reportó el hallazgo al equipo de Microsoft pero la compañía, que valido la vulnerabilidad, pospuso el parche para el próximo lanzamiento. Y si bien Reegun explica en un post en su blog que esperaba hacer público el hallazgo una vez que el error fuese solucionado, dado que otros investigadores públicaron información al respecto decidió finalmente hacerlo público.

Published the writeup on latest Microsoft Teams vulnerable application design.

Vulnerable Endpoints :
%localappdata%/Microsoft/Teams/update.exe
%localappdata%/Microsoft/Teams/current/squirrel.exehttps://t.co/Cec0noyBCS

CC: @MrUn1k0d3r @Hexacorn @Oddvarmoe #blueteam #redteam

— Reegun (@reegun21) 28 de junio de 2019

Mientras tanto, cualquier actor malintencionado puede engañar a la función update de la app para que descargue el malware que quiera utilizando para eso el propio código de Microsoft. El ataque implica extraer cualquier paquete nupkg en el cual el atacante insertará un shellcode etiquetado como “squirrel.exe”.

Una vez que un atacante haya creado el paquete adecuado podrá ir a la carpeta de la aplicación y ejecutando el comando “update.exe” la aplicación automáticamente actualizará y descargará el paquete malicioso que contiene el shellcode hacia la carpeta “packages”.

Fuente: www.welivesecurity.com