Recientemente, se ha descubierto una técnica que permite a los atacantes obtener tokens de autenticación cifrados de Microsoft Teams en sistemas Windows, facilitando así el acceso no autorizado a chats, correos electrónicos y documentos de SharePoint.

En una publicación de RandoriSec, Brahim El Fikhi detalla (video) cómo se pueden descifrar estos tokens, que se almacenan en una base de datos de cookies similar a la de Chromium, utilizando la API de Protección de Datos de Windows (DPAPI). Esta investigación también menciona otros estudios previos, como los de Vectra y Mr.D0x.

Este hallazgo se basa en experimentos recientes que indican cómo Teams almacena tokens de acceso sensibles, lo que puede permitir que un atacante se haga pasar por un usuario y acceda a chats, correos electrónicos y archivos.

Como se describe en la publicación, Microsoft Teams utiliza una ventana del navegador a través del proceso msedgewebview2.exe, un componente basado en Chromium que gestiona el inicio de sesión a los servicios en línea de Microsoft.

Durante el proceso de autenticación, este componente genera cookies en una base de datos SQLite de manera similar a los navegadores web convencionales. Estas cookies incluyen tokens de acceso que permiten participar en conversaciones de Teams, usar funciones de Skype y acceder a la API de Microsoft Graph para interacciones más amplias con Office 365.

Sin embargo, los navegadores basados en Chromium han mejorado su seguridad. Ahora protegen las claves de cifrado mediante un servicio IElevator basado en COM que se ejecuta con privilegios de SYSTEM, verificando la legitimidad de quien llama al comprobar la ruta de instalación donde se encuentra el ejecutable. Esto requiere que la ejecución se realice dentro del proceso del navegador o con privilegios elevados para descifrar los valores de las cookies.

En contraste, Teams utiliza la API de Protección de Datos (DPAPI), más sencilla, asociada a la clave maestra del usuario actual, lo cual hace que sus cookies sean relativamente más fáciles de detectar una vez que se haya obtenido la clave de cifrado.

Superando bloqueos de archivos mediante inyección de procesos

Una dificultad importante en la investigación inicial era el comportamiento de Teams durante su ejecución: la aplicación bloquea su archivo de base de datos de cookies mientras está activa, incluso en segundo plano, lo que imposibilita la lectura o copia directa.

Terminar el proceso MS-Teams.exe, como se sugiere en la publicación, notificaría a los usuarios y activaría alertas de seguridad. Para sortear este «obstáculo», los investigadores de TierZone se inspiraron en Cookie-Monster-BOF, una herramienta de código abierto diseñada para extraer cookies de procesos de navegador en activo al duplicar identificadores de archivos e invocar el servicio IElevator.

La nueva herramienta Teams-Cookies-BOF de Tier Zero Security ha adaptado esta lógica para la aplicación de mensajería. En vez de cerrar Teams, se ejecuta directamente dentro del proceso ms-teams.exe, potencialmente mediante hijacking de DLL o COM, para identificar procesos secundarios de vista web que mantienen IDs abiertos para el archivo de cookies.

Esta herramienta utiliza las técnicas de explotación existentes de los navegadores para eludir los mecanismos de bloqueo de archivos de Teams, lo que plantea nuevas preocupaciones sobre la seguridad en entornos empresariales.

Duplica estos identificadores, lee el contenido del archivo en tiempo real y descifra los valores utilizando la clave maestra DPAPI del usuario. Este enfoque asegura sigilo, ya que la herramienta simula la actividad del proceso original sin causar interrupciones en el sistema de archivos.

La versatilidad del BOF no se limita solo a la inyección en Teams. Puede ejecutarse en cualquier proceso que comparta los mismos privilegios de usuario, explorando subprocesos en todo el sistema para extraer cookies pertinentes.

Aunque esto amplía su aplicabilidad, también introduce señales detectables, como comportamientos anormales en procesos no relacionados.

En resumen

Los investigadores han identificado técnicas que permiten a los atacantes acceder a información sensible mediante la exfiltración de cookies y tokens de acceso, todo gracias a la explotación del proceso ms-teams.exe y la manipulación avanzada de handles del sistema.

La explotación implica la inyección de código dentro del proceso legítimo de Microsoft Teams, lo que posibilita el acceso directo a archivos de cookies protegidos. Utilizando la API de Protección de Datos (DPAPI) de Windows, los atacantes pueden descifrar y extraer estos datos, obteniendo así los tokens que facilitan el acceso no autorizado a recursos y conversaciones dentro de Teams. Esta técnica logra esconderse como actividad legítima, evadiendo así soluciones de seguridad tradicionales.

El impacto principal es el secuestro de sesiones de usuario, poniendo en riesgo la información empresarial, credenciales e integridad de las comunicaciones. Además, la discreción del ataque favorece movimientos laterales y la posibilidad de que actores maliciosos permanezcan en el entorno corporativo durante períodos prolongados. Otros productos basados en tecnologías similares también podrían verse afectados.


Implicaciones para los defensores

El mecanismo de descifrado se asemeja al de Cookie-Monster-BOF, utilizando AES-256-GCM después de extraer el nonce y la carga útil cifrada de los valores designados «v10» en la base de datos.

Una vez obtenidos, los tokens permiten realizar llamadas API para acceder a historiales de conversaciones, leer mensajes o enviar contenido de phishing en nombre de las víctimas, incrementando así los riesgos de movimientos laterales o campañas de ingeniería social.

Tier Zero Security ha hecho pública la herramienta en GitHub, compatible con cualquier marco C2 que permita cargas útiles de Beacon, y no requiere argumentos para su funcionamiento básico.

Esta versión evidencia una brecha persistente en el modelo de seguridad de Teams en comparación con los navegadores reforzados. Las organizaciones deben priorizar el monitoreo de comportamiento para la inyección de procesos, imponer la ejecución con privilegios mínimos y considerar reglas de detección en puntos finales dirigidas a accesos DPAPI o manipulaciones en controles de vistas web.

Dado que el trabajo híbrido se fundamenta en gran medida en Teams, estas vulnerabilidades subrayan la necesidad de un escrutinio continuo de los componentes de navegador integrados en las aplicaciones de productividad.

Mitigaciones

Herramientas como GraphSpy permiten la lectura no autorizada de SharePoint o correos electrónicos a través del token, limitado a los permisos de Teams (por ejemplo, Chat.ReadWrite, Mail.Send). El token de actualización principal (PRT) de Microsoft está relacionado con esto, facilitando un SSO fluido, pero amplifica los riesgos de reutilización de tokens en diversas aplicaciones.

Las mitigaciones incluyen monitorear «la muerte de ms-teams.exe» o patrones inusuales en ProcMon, aplicar cifrado vinculado a la aplicación y preferir versiones de Teams basadas en web para evitar el almacenamiento local.

Es recomendable rotar tokens a través de políticas de ID de Entra y auditar los registros de API en busca de anomalías. A medida que evolucionan las amenazas en Teams, las reglas EDR que sean compatibles con DPAPI resultan esenciales.

Se aconseja aumentar la vigilancia sobre actividades sospechosas en procesos de Teams y accesos DPAPI, así como revisar y limitar los privilegios de las cuentas. Mantener actualizado tanto Teams como el sistema operativo, desplegar soluciones EDR con reglas que detecten manipulaciones de handles y sesiones, y realizar auditorías periódicas es crucial. La concienciación de los usuarios acerca de los riesgos asociados y la implementación de políticas de Zero Trust ayudarán a mitigar estos riesgos.

Fuente:
Randorisec |
CyberSecurityNews |
IntruceptLabs


Con Información de blog.segu-info.com.ar