Microsoft corrige vulnerabilidad en Teams que permitía robo de cuentas

Microsoft ha corregido recientemente una vulnerabilidad que permitía tomar el control de ciertos subdominios utilizados por su herramienta de colaboración Teams, y ser posterioemente utilizados para el robo de cuentas de la organización.

De acuerdo con el informe realizado por la empresa de seguridad CyberArk, el ataque únicamente requería el envío, a través de la plataforma, de una imagen GIF alojada en un subdominio especial controlado por el atacante. Al ser visualizada por la víctima, sus credenciales se filtraban, permitiendo el control de su cuenta.

Información sobre el ataque

Vamos a intentar explicar todo el proceso empezando por el final, es decir, determinando qué se pretende obtener.

Microsoft Teams es una herramienta colaborativa que combina chat, videoconfierencias, almacenamiento de ficheros, y que se integra con la cuenta Office 365 de la organización. Cada vez que se inicia una sesión de Teams, se generan un token temporal que identificará al usuario mientras dicho usuario siga en sesión. Este token, de nombre “skypetoken”, es un JWT (JSON Web Token), y se emplea en las llamadas al API de teams para interactuar con ella. Es el objetivo último del ataque ya que permite suplantar al usuario que representa.

El problema es que dicho token se guarda en el almacén local del navegador (LocalStorage), y únicamente se envía como cabecera en las peticiones si el código javascript de la página así lo indica. En el resto de peticiones que realiza el navegador para, por ejemplo, la descarga de imágenes, dicha cabecera no se establece.

Es importante recordar que todos los ficheros compartidos en la plataforma están sometidos a un control de acceso. Por tanto, aunque tuviéramos la dirección de uno de estos recursos, el servidor detectaría que no somos miembros de la organización y denegaría la descarga. Hay diversas formas, desde el punto de vista del desarrollo de la plataforma, de solventar este problema.

En el caso que nos ocupa, durante el proceso de login también se genera una cookie “authtoken”, no confundir con “skypetoken”, que permite acceder a estos recursos compartidos. Lo interesante es que esta cookie será enviada automáticamente por el navegador en todas las peticiones a teams.microsoft.com o cualquiera de sus subdominios (por ejemplo, test.teams.microsoft.com).

Si bien esta información no permite interactuar diretamente con el API de Teams, sí que puede utilizarse para obtener un “skypetoken”. Aquí entra en juego la vulnerabilidad base corregida por Microsoft: si un atacante llegase a controlar un subdominio de teams.microsoft.com, bastaría con engañar a un usuario para que lo visitase, ya sea directamente o haciéndole visualizar una imagen alojada en el mismo.

Control del subdominio

El informe de CyberArk no entra en el detalle de cómo se produjo esa toma de control de un subdominio de *.teams.microsoft.com. Se hace mención a dos concretos que, antes de la corrección de Microsoft, eran vulnerables a este tipo de ataque:

  • aadsync-test.teams.microsoft.com
  • data-dev.teams.microsoft.com

Estos fallos suelen estar relacionados con errores en la configuración de dichos subdominios, que apunten a direcciones IP u otros dominios (mediante registros CNAME), que pueden ser registrados o utilizados por el atacante.

En la siguiente captura observamos datos históricos para aadsync-test.teams.microsoft.com, realizado por la página securitytrails.com. Durante 1 mes, dicho subdominio apuntó a una dirección IP no asignada a Microsoft, y la fecha de corrección coincide con la indicada en el informe de CyberArk:

Recientemente se encontraron más de 600 subdominios de microsoft susceptibles de ser controlados por esta misma vulnerabilidad.

Conclusiones

La seguridad de un sistema depende de su eslabón más débil. Como hemos visto, a veces un simple error de configuración, u olvidarse actualizar un registro DNS que ya no apunta a tus servidores, puede reducir drásticamente la seguridad en su conjunto.

Referencias

https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/
https://www.securityweek.com/over-600-microsoft-subdomains-can-be-hijacked-researchers

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.