Cuantos más usuarios tiene un software o plataforma, más interés suscita entre los ciberdelincuentes y analistas de ciberseguridad, por lo que mayor es la probabilidad de detectar vulnerabilidades en los mismos. No es de extrañar, por tanto, que las aplicaciones de videollamadas hayan sido las reinas en este campo desde que comenzaron las cuarentenas por el coronavirus.
Sí resulta menos habitual que esta clase de titulares no los protagonice Zoom (quien, tras varias polémicas, parece estar poniéndose al día en materia de seguridad), sino su rival Microsoft Teams, que actualmente ostenta la cifra de 44 millones de usuarios diarios.
Y es que la vulnerabilidad que han descubierto en esta app de trabajo en grupo es especialmente llamativa: la mera visualización (ya no descarga) de un mero archivo GIF malicioso podría permitir a un atacante acceder a la cuenta de un usuario (o, más habitualmente, de todo un equipo al mismo tiempo).
Dicha vulnerabilidad, que habría afectado potencialmente a todos los usuarios que accedieran a Teams tanto a través de la app de escritorio como del navegador web, ha sido descubierta por un grupo de investigadores de CyberArk Labs y descrita en su página web.
La vulnerabilidad se ha hecho pública después de haber sido solventada
Según nos han hecho llegar fuentes de Microsoft, la compañía ha estado trabajando junto a CyberArk para llevar a cabo una divulgación coordinada de esta vulnerabilidad una vez que esta ya se hubiera solventado:
"Hemos tomado medidas para salvaguardar la seguridad de nuestros clientes [...] pese a que no hemos tenemos constancia de que esta técnica haya llegado a usarse".
Pese a lo chocante que resulte el uso de un GIF con estos fines, en realidad este archivo de imagen sólo era un medio para aprovechar una vulnerabilidad más profunda, centrada en un robo de cookies previa pérdida de control por parte de Microsoft de dos de sus subdominios, deficientemente supervisados: aadsync-test.teams.microsoft.com y data-dev.teams.microsoft.com.
CyberArk no ha especificado el modo en que lograron hacerse con esos subdominios (sí que dar con alguno que resultara útil para este ataque "no resultó fácil"), pero por ejemplo en los casos en que el CNAME de los mismos apunte a dominios expirados, es posible redirigirlos a una máquina controlada por el atacante.
El control de dichos subdominios facilitaba lograr que Teams enviara a los mismos tokens de autenticación, que se modificaban para hacerlos pasar por tokens de Skype una vez la víctima clicara en el GIF malicioso (alojado en alguno de los subdominios en cuestión) y facilitar el acceso al cliente del usuario.
Dichos tokens falseados sólo cuentan con una validez de una hora, pero es tiempo más que suficiente para realizar el robo de información (y en caso contrario, siempre se puede enviar otro GIF).
Ha sido precisamente este problema de envío de tokens el que le ha bastado solventar a Microsoft para impedir que los cibercriminales puedan hacer uso a partir de ahora de la técnica descubierta por CyberArk. En cualquier caso, si eres usuario de la aplicación y has recibido últimamente algún GIF que te haga dudar de su legitimidad, lo mejor es que te cures en salud cambiando tus datos de acceso a tu cuenta.
Vía | CyberArk
Ver 2 comentarios