Cuentas de la plataforma Microsoft Teams pueden ser hackeadas con una imagen GIF maliciosa


Microsoft Teams es una plataforma de comunicación y colaboración que combina los servicios y características de chat, video conferencias, almacenamiento de archivos, colaboración de trabajo por medio de Office 365, así como la integración con otras aplicaciones o productos que no son de Microsoft.

Por la actual situación que está viviendo el mundo, muchas organizaciones se han visto obligadas a realizar algunas o todas sus actividades de forma remota, donde una de las más importantes es la comunicación inmediata con sus miembros, clientes y partners. Es por ellos que han recurrido a utilizar tecnologías como Microsoft Teams o Zoom, con el fin de mantenerse conectados y afectar lo menos posible la productividad.

Un Reciente descubrimiento por un grupo de expertos revela que una o varias cuentas de Microsoft Teams pueden ser hackeadas con sólo recibir un mensaje que contenga una imagen GIF maliciosa. 

La principal causa de la vulnerabilidad está en la forma en que el software maneja su sistema de control de autenticación, el cual es realizado por medio de Tokens, estos son creados en el momento en que se ejecuta el cliente de Teams. Los Tokens son creados por el servidor de autorización y autenticación de Microsoft, en formato JSON Web Token (JWT). Donde por cada servicio se crea un nuevo Token para obtener acceso a él, como SharePoint, Outlook, entre otros. El reporte de los investigadores se enfocó en dos Tokens, uno llamado “skype token” y son vistos como una cookie llamada “skypetoken_asm” y el token de autorización “auth Token”.

El “skype token” es usado para cargar imágenes en los dominios a través de Teams y el Token de autenticación (Auth Token), es utilizado para autenticar al servidor que acciones manipula el cliente, así como el leer mensajes. Un atacante en posesión de ambos tokens podrá tomar control sobre los datos con los privilegios del usuario.

Los investigadores informan que aunque el token de autorización solo puede ser utilizado  en un subdominio perteneciente a “teams.microsoft.com”, descubrieron dos subdominios vulnerables a ser sercuestrados (aadsync-test.teams.microsoft.com y data-dev.teams.microsoft.com). En caso que un atacante pueda forzar a una víctima a redireccionarse a un subdominio secuestrado, el cliente o navegador del usuario enviará el token de autorización al servidor del atacante, una vez en posesión del mismo, podrá utilizarlo para crear un Skype Token.

Un ejemplo de un posible escenario de ataque se muestra en la siguiente imagen compartida por los expertos.

Flujo de posible Ataque


Como podemos observar en la imagen anterior, sigue los siguiente pasos:

  1. Inicia con el envío de una imagen GIF maliciosa
  2. La primera víctima vé el mensaje.
  3. El atacante obtiene sus Tokens y toma control de la cuenta.
  4. Con la cuenta recién obtenida el atacante crea un grupo.
  5. Envía mas imagenes GIF maliciosas a los otros empleados.
  6. Los empleados ven el mensaje y obtiene los tokens.


Su comportamiento puede ser utilizado como un malware de tipo gusano (worm), algo que sería demasiado peligroso por la gran cantidad de información que es compartida por Microsoft Teams.




Fuente:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Cuentas de la plataforma Microsoft Teams pueden ser hackeadas con una imagen GIF maliciosa
Cuentas de la plataforma Microsoft Teams pueden ser hackeadas con una imagen GIF maliciosa
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDP4V5aW-oBNuwitm_56bbG4buftIUx38XUovUdMC6lVYlbMhvqI68TbLqiqtvLLzu8RQxZIy06rjTbc7aXuomrWjVZkLMXLenjNV0KrxDnrN9kZouJ2hJFR9ZEvyMJ84vpnN7YtuSBmI/s640/teams.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhDP4V5aW-oBNuwitm_56bbG4buftIUx38XUovUdMC6lVYlbMhvqI68TbLqiqtvLLzu8RQxZIy06rjTbc7aXuomrWjVZkLMXLenjNV0KrxDnrN9kZouJ2hJFR9ZEvyMJ84vpnN7YtuSBmI/s72-c/teams.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/04/cuentas-de-la-plataforma-microsoft.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/04/cuentas-de-la-plataforma-microsoft.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy