CyberArk Labs ha desvelado un problema de seguridad crítico que, a través de Microsoft Teams, la popular app de videoconferencias de Microsoft, podría provocar un robo de datos importante. Un problema que se podía aprovechar mediante un GIF malicioso con el que los ciberdelincuentes pueden robar credenciales e incluso realizar espionaje corporativo.

Esta investigación ha concluido que los ciberdelincuentes aprovecharon un GIF malicioso para robar esta clase de información. No obstante, este es solo un medio para el mismo fin: el problema era todavía más grave, más subyacente. El problema radicaba en la configuración de los subdominios oficiales abandonados.

Si bien el GIF a través de Microsoft Teams era el vehículo para explotar la vulnerabilidad, el problema radica en un robo de cookies gracias al cual Microsoft perdió el control de 2 subdominios de Teams, lo que está provocando la vulnerabilidad crítica.

Un GIF, Microsoft Teams y el peligro

Nueva app de Microsoft Teams for Life. Microsoft

La investigación de CyberArk Labs ha concluido que los hackers aprovechaban estos subdominios gracias a un GIF malicioso. Este se enviaba a usuarios de Microsoft Teams y una vez este recibido, los atacantes podían robar toda clase de datos asociados a esa cuenta de Teams. El grupo entero podía sufrir este ataque sin que siquiera se diesen cuenta.

Como decimos, el problema no reside tanto en Teams o en el GIF malicioso, sino en el robo de cookies ya mencionados. CyberArk consiguió hacerse con los dominios que, como decimos, estaban poco atendidos por Microsoft. Con los subdominios, se puede conseguir que Teams envíe tokens de autenticación a los mismos. Aquí podemos ver un ejemplo en vídeo.

Infografía de cómo funcionaba el ataque. CyberArk

Los tokens eran modificados haciéndolos pasar por tokens de Skype. Estos se conectaban con el dispositivo de la víctima a treavés de Teams y se procedía al robo de información El GIF realmente es una manera de hacer picar más fácilmente a la víctima y que así pinche; el archivo está colgado en un dominio afectado y al realizar la visualización, este envía el token autenticador.

Es ahí donde radicaba el peligro; el GIF no tenía que abrirse o ejecutarse, sino simplemente visualizarse y debido a su naturaleza era muy fácil que se compartiese y, por ende, se propagase.

Un error que ya ha sido subsanado

Fondo de pantalla de Windows 10.

La misma CyberArk asegura haber trabajado con el Centro de Investigación de Seguridad de Microsoft tras descubrir esta vulnerabilidad, tras lo cual la empresa de Redmond solucionó el problema. Esencialmente, Microsoft ha arreglado el problema de los envíos de tokens, ya que esto lo hacía a todos los subdominios comprometidos.

Esta vulnerabilidad, de haberse mantenido en funcionamiento, habría afectado a usuarios tanto de apps de escritorio como de navegador web. Por otra parte, en caso de haber recibido un GIF en Microsoft Teams te recomendamos cambiar tus credenciales y actualizar la información de tu cuenta para evitar problemas de ningún tipo.