- Los investigadores de seguridad comparten noticias preocupantes sobre la popular aplicación de conferencias de Microsoft.
- Aparentemente, Teams todavía está plagado de cuatro vulnerabilidades que permiten que los atacantes se infiltren.
- Se pueden usar dos para permitir la falsificación de solicitudes del lado del servidor (SSRF) y la suplantación de identidad.
- Los otros dos solo afectan a los teléfonos inteligentes Android y pueden explotarse para filtrar direcciones IP.
El otro día estábamos hablando de Teams, informando sobre cómo es posible que no pueda crear nuevas cuentas de organización gratuitas, y la principal aplicación de conferencias de Microsoft ya está de nuevo en el centro de atención.
Y aunque nos sentimos mejor cuando tenemos que informar correcciones y mejoras, o nuevas funciones para Teams, también debemos informarle sobre este riesgo de seguridad.
Aparentemente, los investigadores de seguridad han descubierto cuatro vulnerabilidades separadas dentro de Teams, que podrían explotarse para falsificar vistas previas de enlaces, filtrar direcciones IP e incluso acceder a los servicios internos de Microsoft.
Cuatro vulnerabilidades principales todavía se están explotando en la naturaleza
Los expertos de Positive Security se toparon con estas vulnerabilidades mientras buscaban una manera de eludir la Política del mismo origen (SOP) en Teams y Electron, según una publicación de blog.
En caso de que no esté familiarizado con el término, SOP es un mecanismo de seguridad que se encuentra en los navegadores y que ayuda a evitar que los sitios web se ataquen entre sí.
Mientras investigaban este asunto delicado, los investigadores descubrieron que podían pasar por alto el SOP en Teams al abusar de la función de vista previa de enlaces de la aplicación.
En realidad, esto se logró al permitir que el cliente generara una vista previa del enlace para la página de destino y luego usara el texto de resumen o el reconocimiento óptico de caracteres (OCR) en la imagen de vista previa para extraer información.
Además, mientras hacía esto, el cofundador de Positive Security, Fabian Bräunlein, también descubrió otras vulnerabilidades no relacionadas en la implementación de la función.
Dos de los cuatro errores desagradables que se encuentran en Microsoft Teams se pueden usar en cualquier dispositivo y permiten la falsificación de solicitudes del lado del servidor (SSRF) y la suplantación de identidad.
Los otros dos solo afectan a los teléfonos inteligentes Android y pueden explotarse para filtrar direcciones IP y lograr la denegación de servicio (DOS).
No hace falta decir que, al explotar la vulnerabilidad SSRF, los investigadores pudieron filtrar información de la red local de Microsoft.
Al mismo tiempo, el error de suplantación de identidad se puede utilizar para mejorar la eficacia de los ataques de phishing o para ocultar enlaces maliciosos.
El más preocupante de todos definitivamente debería ser el error de DOS, ya que un atacante puede enviar a un usuario un mensaje que incluye una vista previa del enlace con un destino de enlace de vista previa no válido para bloquear la aplicación Teams para Android.
Desafortunadamente, la aplicación seguirá fallando al intentar abrir el chat o el canal con el mensaje malicioso.
Positive Security, de hecho, informó a Microsoft de sus hallazgos el 10 de marzo a través de su programa de recompensas por errores. Desde entonces, el gigante tecnológico solo ha parcheado la vulnerabilidad de fuga de direcciones IP en Teams para Android.
Pero ahora que esta información desconcertante es pública y las consecuencias de estas vulnerabilidades son bastante claras, Microsoft tendrá que intensificar su juego y encontrar algunas soluciones rápidas y efectivas.
¿Ha experimentado algún problema de seguridad al usar Teams? Comparta su experiencia con nosotros en la sección de comentarios a continuación.
