[18/05/2023] Con la creciente adopción por parte de las organizaciones de servicios y aplicaciones basados en la nube, especialmente herramientas de colaboración, los atacantes han pivotado también sus ataques. Los servicios de Microsoft ocupan sistemáticamente los primeros puestos de las estadísticas en lo que se refiere a intentos de inicio de sesión maliciosos, y Microsoft Teams es una aplicación que últimamente parece haber atraído el interés de los atacantes.
Los investigadores de la firma de seguridad Proofpoint investigaron cómo los atacantes podrían abusar del acceso a una cuenta de Teams, y encontraron algunos vectores de ataque interesantes que podrían permitir a los hackers moverse lateralmente lanzando más ataques de phishing o haciendo que los usuarios descarguen archivos maliciosos.
"Nuestro análisis de ataques pasados y tendencias actuales dentro del dinámico panorama de amenazas en la nube indica que los atacantes pivotan progresivamente hacia vectores de ataque más avanzados", señalan los investigadores de Proofpoint en su informe. "La adopción de nuevas técnicas y herramientas de ataque, cuando se combina con aparentes fallos de seguridad, incluyendo funcionalidades peligrosas en apps de primera parte, expone a las organizaciones a una variedad de riesgos críticos".
Movimiento lateral posterior al ataque
Según los datos de Proofpoint, alrededor del 40% de las organizaciones que son inquilinos de la nube de Microsoft 365 han tenido al menos un intento de inicio de sesión no autorizado tratando de obtener acceso a una cuenta de usuario a través de Microsoft Teams en la segunda mitad del 2022, utilizando los clientes web o de escritorio. Aunque esta cifra es menor en comparación con el número de organizaciones que vieron intentos de inicio de sesión maliciosos en sus cuentas de Azure Portal u Office 365 en general, sigue siendo lo suficientemente significativa como para sugerir que los atacantes se están interesando específicamente en Microsoft Teams.
Se puede acceder a una cuenta de Teams a través de un token de API, con credenciales o una cookie de sesión activa, pero una vez dentro es probable que los atacantes quieran ampliar su acceso a otros servicios o dirigirse a otros usuarios. Los investigadores de Proofpoint encontraron llamadas a la API no documentadas que permiten a los usuarios de Teams reorganizar las pestañas que aparecen en la parte superior de sus canales o conversaciones de grupo y que todo el mundo puede ver. Esta lista puede incluir otras aplicaciones de Office 365 para facilitar el acceso, pero Microsoft también permite a los usuarios anclar una pestaña llamada "Sitio web" que se puede personalizar para cargar un sitio web remoto seguro en una pestaña dentro del cliente de Teams.
"Esta nueva pestaña podría usarse para apuntar a un sitio malicioso, como una página web de phishing de credenciales que se hace pasar por una página de inicio de sesión de Microsoft 365", dijeron los investigadores de Proofpoint. "Esto podría ser extremadamente atractivo para los atacantes, ya que, por diseño, la URL de una pestaña de sitio web no se muestra a los usuarios a menos que visiten deliberadamente el menú 'Configuración' de la pestaña".
Además, utilizando las llamadas a la API no documentadas, un atacante con acceso a una cuenta de Teams podría cambiar el nombre del nuevo "Sitio Web" malicioso que apunta a una página de phishing similar a una pestaña que ya existe y, a continuación, reordenar las pestañas para desplazar la original fuera de la vista. Esto significa que los usuarios que solían hacer clic en la pestaña habitual podrían acabar ahora en una página que les pide que vuelvan a autenticarse en su cuenta de Microsoft 365, lo que podría no levantar sospechas, sobre todo porque no pueden ver la URL del sitio y la página se muestra dentro de una aplicación de Microsoft en la que confían.
Otra forma de abusar de esta función es dirigir la pestaña de tipo sitio web a un archivo alojado remotamente, en cuyo caso el cliente de Teams descargará automáticamente el archivo en el ordenador del usuario al hacer clic en él. Esto podría permitir a los atacantes introducir sus droppers de malware en otros sistemas y redes.
Otra característica de la API de Teams que encontraron los investigadores de Proofpoint es que permite a los usuarios modificar las URL enviadas dentro de las invitaciones a reuniones generadas desde una cuenta de Teams. "Mientras que normalmente un atacante necesitaría acceso a Outlook o Microsoft Exchange para manipular el contenido de una invitación de reunión, una vez que los atacantes obtienen acceso a la cuenta de Teams de un usuario, pueden manipular las invitaciones de reunión mediante llamadas a la API de Teams, cambiando los enlaces predeterminados benignos por enlaces maliciosos", explicaron los investigadores.
Es probable que los destinatarios confíen en los enlaces maliciosos incluidos en las invitaciones generadas por Teams, que pueden llevar a páginas de inicio de sesión falsas de Microsoft 365 diseñadas para recopilar credenciales o a páginas que invitan a los usuarios a descargar un archivo que se hace pasar por una actualización o un instalador de Teams.
El intercambio de enlaces también puede realizarse dentro de chats existentes, ya que Teams permite a los usuarios editar sus mensajes anteriores y cambiar los enlaces. Esta funcionalidad está disponible tanto a través del cliente como de la API y los atacantes podrían crear scripts automatizados que sustituyeran todos los enlaces de los chats existentes en cuestión de segundos. "Posteriormente, un actor de amenazas sofisticado podría utilizar técnicas de ingeniería social y enviar nuevos mensajes, animando a los usuarios desprevenidos a hacer clic (o "volver a visitar") el enlace editado, y ahora convertido en arma", dijeron los investigadores de Proofpoint.
Si bien todas estas técnicas de ataque requieren que los atacantes ya tengan acceso a una cuenta comprometida, es importante que las organizaciones siempre consideren las oportunidades de movimiento lateral, ya que esto es algo común en todos los ataques modernos. Los atacantes rara vez se detienen en una sola cuenta o sistema comprometidos una vez que consiguen introducirse en las redes o infraestructuras de una organización.
Cómo mitigar el riesgo de movimiento lateral a través de los equipos
Según los datos de Proofpoint, alrededor de dos de cada tres inquilinos de Microsoft 365 sufrieron al menos un incidente de toma de control de cuenta con éxito el año pasado. La empresa aconseja a las organizaciones que:
- Eduque a los usuarios para que sean conscientes de estos riesgos cuando utilicen Microsoft Teams.
- Identifique a los atacantes que acceden a Teams en su entorno de nube. Esto requiere una detección precisa y oportuna del compromiso inicial de la cuenta, y la visibilidad de la aplicación de inicio de sesión afectada.
- Aísle las sesiones potencialmente maliciosas iniciadas por enlaces incrustados en mensajes de Teams.
- Si se enfrenta a intentos de ataque de forma regular, considere la posibilidad de limitar el uso de Microsoft Teams en su entorno de nube.
- Asegúrese de que su servicio de Teams es sólo interno si es posible y no está expuesto a la comunicación con otras organizaciones.
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú