La seguridad es muy caprichosa, por mucho que las empresas se esfuercen en mejorarla existen partes inseguras. Esto mismo sucede con Teams, existen elementos de diseño «inseguros» o vulnerabilidades. Estos son utilizados por los atacantes como ha sucedido ya. Según el consultor de ciberseguridad Bobby Rauch, que compartió el descubrimiento. La seguridad de Teams podría saltarse utilizando los GIFs maliciosos enviados en los mensajes. (vía BleepingComputer)
La seguridad de Teams expuesta… por GIFs
«Esta infraestructura C2 única se aprovecha por actores de amenazas sofisticadas para evitar la detección por parte de EDR y otras herramientas de monitoreo de red. Especialmente en entornos de red seguros, donde Microsoft Teams puede ser uno de los pocos hosts y programas permitidos y de confianza. Esta cadena de ataque puede ser especialmente devastadora», explicó Raunch. «Dos vulnerabilidades adicionales descubiertas en Microsoft Teams. La falta de aplicación de permisos y la suplantación de archivos adjuntos. Estos permiten que el stager GIFShell sea lanzado y ejecutado de forma convincente en la máquina de la víctima. Completando la cadena de ataque desde el compromiso de la víctima hasta las comunicaciones encubiertas.»
El informe se compartió por primera vez con Microsoft en mayo y junio de 2022. Se refiere a la versión 1.5.00.11163 de Teams y anteriores, y Raunch dijo que las vulnerabilidades aún no están parcheadas en la última versión de Teams, dando a los actores la oportunidad de realizar la cadena de ataque GIFShell en ellos. Sin embargo, según el consultor, los hallazgos no cumplieron con el «listón de servicio» de Microsoft a pesar de ser descrito como «una gran investigación» y de que la compañía le dio el permiso para «bloguear/discutir este caso y/o presentar sus hallazgos públicamente.»
«A menudo, las empresas y los equipos de ingeniería toman decisiones de diseño basadas en el ‘riesgo asumido’, por lo que una vulnerabilidad de impacto potencialmente bajo se deja sin parchear o una característica de seguridad se desactiva por defecto, con el fin de lograr algún objetivo de negocio», expresó Raunch su preocupación. «Creo que esta investigación es demostrativa de un caso en el que una serie de decisiones de diseño y «riesgos asumidos» realizados por un equipo de ingeniería de producto, pueden encadenarse en una cadena de ataque más perniciosa, y un exploit de riesgo mucho mayor de lo que los diseñadores del producto imaginaron que era posible.»
Los siete fallos y vulnerabilidades de Teams
Raunch enumeró en su informe los siete fallos y vulnerabilidades de Microsoft Teams. Uno de los puntos más destacados por Raunch es el hecho de que el contenido de bytes de los GIFs codificados en HTML base64 incluidos en los mensajes de Microsoft Teams no se analizan en busca de contenido malicioso. También explicó que, dado que la lectura de los archivos de registro de Teams en texto plano no necesita privilegios de administrador o elevados. El stager malicioso que se instale puede ejecutarse libremente y escanear los archivos de registro. A través de estas vulnerabilidades, Rauch dijo que es posible eludir los controles de seguridad, la exfiltración de datos, la ejecución de comandos y los ataques de phishing. Cuando se le preguntó por los fallos, Microsoft dijo a BleepingComputer casi la misma respuesta que Raunch recibió de la empresa.
«Es importante tener en cuenta este tipo de phishing y, como siempre, recomendamos a los usuarios que practiquen buenos hábitos. Incluyendo la precaución al hacer clic en enlaces a páginas web, abrir archivos desconocidos o aceptar transferencias de archivos».
«Hemos evaluado las técnicas comunicadas por este investigador y hemos determinado que las dos mencionadas no cumplen el requisito de una solución de seguridad urgente. Estamos buscando constantemente nuevas formas de resistir mejor el phishing. Para ayudar a garantizar la seguridad de los clientes y es posible que tomemos medidas en una futura versión para ayudar a mitigar esta técnica.»
Por otro lado, aunque Microsoft considera que los hallazgos de Raunch forman parte de «algunas vulnerabilidades de menor gravedad que no suponen un riesgo inmediato para los clientes», «se tendrán en cuenta para la próxima versión o lanzamiento de Windows.»