Vulnerabilidad del token de acceso de Microsoft Teams: nuevo vector de ataque para la filtración de datos
Una nueva técnica permite a los atacantes extraer tokens de autenticación cifrados de Microsoft Teams en Windows, lo que permite el acceso no autorizado a chats, correos electrónicos y archivos de SharePoint.
En una publicación de RandoriSec, Brahim El Fikhi, explica (video) cómo estos tokens, almacenados en una base de datos de cookies similar a Chromium, se pueden descifrar utilizando la API de protección de datos de Windows (DPAPI). Esta investigación también hace referencias a otra investigaciones previas como las de Vectra o Mr.D0x.
Este desarrollo se basa en hallazgos recientes que exponen cómo Teams almacena tokens de acceso confidenciales, lo que potencialmente permite a los atacantes hacerse pasar por usuarios y acceder a chats, correos electrónicos y documentos.
Como se describe en la publicación, Microsoft Teams incorpora una ventana del navegador utilizando el proceso msedgewebview2.exe, un componente basado en Chromium que maneja el inicio de sesión a través de los servicios en línea de Microsoft.
Durante la autenticación, este proceso escribe cookies en una base de datos SQLite de manera similar a los navegadores web tradicionales. Estas cookies contienen tokens de acceso que otorgan acceso a conversaciones de Teams, funciones de Skype e incluso a la API de Microsoft Graph para interacciones más amplias con Office 365.
Sin embargo, los navegadores Chromium modernos han reforzado sus defensas. Ahora protegen las claves de cifrado a través de un servicio IElevator basado en COM que se ejecuta con privilegios de SYSTEM, verificando la legitimidad de la persona que llama comprobando la ruta de instalación segura del ejecutable. Esta configuración exige ejecución dentro del proceso del navegador o acceso elevado de administrador para descifrar los valores de las cookies.
Por el contrario, Teams se basa en la API de protección de datos (DPAPI) más simple vinculada a la clave maestra del usuario actual, lo que hace que sus cookies sean comparativamente más fáciles de detectar una vez que se obtiene la clave de cifrado.
Superar bloqueos de archivos con inyección de procesos
Un obstáculo clave en la investigación original fue el comportamiento en tiempo de ejecución de Teams: la aplicación bloquea su archivo de base de datos de cookies mientras se ejecuta, incluso en segundo plano, impidiendo lecturas o copias directas.
Eliminar el proceso MS-Teams.exe, como se sugiere en la publicación, alertaría a los usuarios y activaría el monitoreo de seguridad. Para abordar este “problema”, los investigadores de TierZone se inspiraron en Cookie-Monster-BOF, una herramienta de código abierto que extrae cookies de procesos activos del navegador duplicando identificadores de archivos e invocando el servicio IElevator.
la nueva herramienta Teams-Cookies-BOF de Tier Zero Security reutiliza esta lógica para la aplicación de mensajería. En lugar de finalizar Teams, se ejecuta directamente dentro del proceso ms-teams.exe, potencialmente mediante secuestro de DLL o COM, para identificar procesos de vista web secundarios que mantienen identificadores abiertos para el archivo de cookies.
La herramienta adapta la técnica de explotación del navegador existente para evitar los mecanismos de bloqueo de archivos de Teams, lo que genera nuevas preocupaciones sobre la seguridad de los terminales en entornos empresariales.
Duplica estos identificadores, lee el contenido del archivo sobre la marcha y descifra los valores utilizando la clave maestra DPAPI del usuario. Este enfoque garantiza el sigilo, ya que la herramienta imita la actividad del proceso legítimo sin interrupciones en el sistema de archivos.
En particular, la flexibilidad del BOF se extiende más allá de la inyección de Teams. Puede ejecutarse en cualquier proceso que comparta los mismos privilegios de usuario, consultando los subprocesos en todo el sistema para descargar cookies relevantes.
Si bien esto amplía su aplicabilidad, también introduce indicadores detectables, como operaciones de manejo inusuales en procesos no relacionados.
En resumen
Los investigadores han detectado técnicas que permiten a atacantes acceder a información sensible mediante la exfiltración de cookies y tokens de acceso, todo ello gracias a la explotación del proceso ms-teams.exe y la manipulación avanzada de handles de sistema.
La explotación consiste en la inyección de código dentro del proceso legítimo de Microsoft Teams, permitiendo el acceso directo a archivos de cookies protegidos. A través del uso del Data Protection API (DPAPI) de Windows, los atacantes descifran y extraen estos datos, obteniendo así los tokens que permiten el acceso no autorizado a recursos y conversaciones de Teams. La técnica logra camuflarse como actividad legítima y evitar la detección por soluciones de seguridad tradicionales.
El principal impacto es el secuestro de sesiones de usuario, poniendo en peligro la información empresarial, credenciales e integridad de las comunicaciones. Además, la sigilosidad del ataque favorece movimientos laterales y la posibilidad de que actores maliciosos permanezcan largos periodos de tiempo dentro del entorno corporativo. Otros productos basados en tecnologías similares también podrían verse afectados.
Implicancia para los defensores
El mecanismo de descifrado refleja exactamente Cookie-Monster-BOF, empleando AES-256-GCM después de extraer el nonce y la carga útil cifrada de los valores etiquetados “v10” en la base de datos.
Una vez obtenidos, los tokens permiten llamadas API para recuperar historiales de conversaciones, leer mensajes o enviar contenido de phishing en nombre de las víctimas, lo que aumenta los riesgos en el movimiento lateral o en campañas de ingeniería social.
Tier Zero Security ha hecho pública la herramienta en GitHub y es compatible con cualquier marco C2 que admita cargas útiles de Beacon y no requiere argumentos para su uso básico.
Esta versión subraya una brecha persistente en el modelo de seguridad de Teams en comparación con los navegadores reforzados. Las organizaciones deben priorizar el monitoreo del comportamiento para la inyección de procesos, imponer la ejecución con privilegios mínimos y considerar reglas de detección de puntos finales dirigidas a accesos DPAPI o manipulaciones de controles de vistas web.
Dado que el trabajo híbrido depende en gran medida de Teams, estas vulnerabilidades resaltan la necesidad de un escrutinio continuo de los componentes integrados del navegador en las aplicaciones de productividad.
Mitigaciones
Herramientas como GraphSpy ingieren el token para la lectura indebida de SharePoint o correos electrónicos, limitados a los permisos de Teams (por ejemplo, Chat.ReadWrite, Mail.Send). El token de actualización principal (PRT) de Microsoft se relaciona con esto, lo que permite un SSO fluido pero amplifica los riesgos de reutilización de tokens en todas las aplicaciones.
Las mitigaciones incluyen monitorear “la muerte de ms-teams.exe” o patrones inusuales de ProcMon, aplicar el cifrado vinculado a la aplicación y preferir Teams basados en web para evitar el almacenamiento local.
Rotar tokens a través de políticas de ID de Entra y auditar los registros de API para detectar anomalías. A medida que las amenazas de Teams evolucionan, las reglas EDR compatibles con DPAPI son esenciales.
Se recomienda aumentar la monitorización de actividades sospechosas sobre procesos de Teams y accesos a DPAPI, así como revisar y limitar los privilegios de las cuentas. Es crucial mantener Teams y el sistema operativo actualizados, desplegar soluciones EDR con reglas que detecten manipulaciones de handles y sesiones, y realizar auditorías periódicas. La concienciación de los usuarios sobre riesgos asociados y la adopción de políticas Zero Trust ayudarán a mitigar el riesgo.