Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
1564
)
-
▼
noviembre
(Total:
44
)
-
BreachParty hackea a ING y Santander, filtrando da...
-
Tarjeta gráfica Asus ROG Astral con refrigeración ...
-
Intel se desploma en ventas en Amazon EE.UU: AMD s...
-
Samsung presenta el primer SSD modular
-
Kimi K2 es un potente modelo de IA chino que sobre...
-
Los precios de la Memoria DRAM se disparan un 171%...
-
Google presenta Ironwood, el chip de IA más potent...
-
Cómo editar fotos gratis y sin límites en el móvil...
-
Intel Arc Pro B60: la nueva apuesta de Intel para ...
-
Microsoft presenta su nueva IA para crear imágenes...
-
ChatGPT líder IA en España, y más usan la IA china...
-
Google Maps añade una función para evitar el calor...
-
Un abogado dice que si te compras Google Pixel con...
-
Jensen Huang, CEO de Nvidia, afirma que China gana...
-
Una grave vulnerabilidad en el plugin Post SMTP af...
-
NVIDIA DGX Spark, el nuevo mini PC con el chip GB1...
-
Hasta el 10% de los ingresos de Meta provienen de ...
-
Ataques a IA: Prompt Injection y Data Poisoning
-
Deep Research: la función de Gemini ahora puede co...
-
SUSE Linux Enterprise Server 16
-
Amazon abre un supermercado operado por robots aut...
-
Epic Games y Google alcanzan un acuerdo histórico
-
El CNI Español eleva la ciberseguridad a prioridad...
-
Signal: la explicación y queja a por qué casi todo...
-
Google alerta de que la IA está creando virus info...
-
Sora ya está disponible para en Android en algunos...
-
Servidores Jupyter expuestos: una mala configuraci...
-
Google piensa en centros de IA solares orbitando e...
-
La próxima versión de Siri, el asistente de Apple,...
-
Xiaomi presenta su cerradura inteligente más avanz...
-
Amazon acusa de fraude a Perplexity: su IA se hace...
-
Telefónica Movistar promete fibra XGS-PON (10Gbps)...
-
Ni ChatGPT ni Gemini: la nueva superarma de IBM es...
-
Tutorial proxy inverso y balanceador de carga con ...
-
Robo en el Louvre: La contraseña del sistema de vi...
-
OpenAI firma un acuerdo de 38.000 millones de dóla...
-
China revoluciona la informática: crean un chip an...
-
Investigación de Proton revela 300 millones de cre...
-
Nuevo exploit en Microsoft Teams permite el robo s...
-
OpenAI presenta Aardvark: agente GPT-5
-
Brecha de datos en Conduent expone información de ...
-
Kit de emergencia para Windows 11 con herramientas...
-
Tor Browser 15 da el salto a Firefox 140, pero dej...
-
España, el tercer país con más tarjetas de crédito...
-
- ► septiembre (Total: 148 )
-
▼
noviembre
(Total:
44
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Un equipo de la Universidad de Pekín presentó un chip analógico que promete transformar la inteligencia artificial y el 6G con una veloci... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
El caso tiene que ver con algunos modelos de Google Pixel en los que se instala el sistema operativo GrapheneOS , una versión alternativa d...
Nuevo exploit en Microsoft Teams permite el robo sigiloso de cookies y tokens de usuario
Un exploit recientemente descubierto permite la extracción de cookies y tokens de acceso desde Microsoft Teams, aprovechando técnicas avanzadas de manipulación de procesos. Esta amenaza puede pasar desapercibida y comprometer sesiones activas a nivel corporativo.
Una nueva técnica permite a los atacantes extraer tokens de autenticación cifrados de Microsoft Teams en Windows, lo que permite el acceso no autorizado a chats, correos electrónicos y archivos de SharePoint.
Microsoft Teams, ampliamente adoptado en el entorno empresarial para la colaboración y comunicación, ha sido objeto de un nuevo vector de ataque. Investigadores han detectado técnicas que permiten a atacantes acceder a información sensible mediante la exfiltración de cookies y tokens de acceso, todo ello gracias a la explotación del proceso ms-teams.exe y la manipulación avanzada de handles de sistema.
La explotación consiste en la inyección de código dentro del proceso legítimo de Microsoft Teams, permitiendo el acceso directo a archivos de cookies protegidos. A través del uso del Data Protection API (DPAPI) de Windows, los atacantes descifran y extraen estos datos, obteniendo así los tokens que permiten el acceso no autorizado a recursos y conversaciones de Teams. La técnica logra camuflarse como actividad legítima y evitar la detección por soluciones de seguridad tradicionales.
El principal impacto es el secuestro de sesiones de usuario, poniendo en peligro la información empresarial, credenciales e integridad de las comunicaciones. Además, la sigilosidad del ataque favorece movimientos laterales y la posibilidad de que actores maliciosos permanezcan largos periodos de tiempo dentro del entorno corporativo. Otros productos basados en tecnologías similares también podrían verse afectados.
Se recomienda aumentar la monitorización de actividades sospechosas sobre procesos de Teams y accesos a DPAPI, así como revisar y limitar los privilegios de las cuentas. Es crucial mantener Teams y el sistema operativo actualizados, desplegar soluciones EDR con reglas que detecten manipulaciones de handles y sesiones, y realizar auditorías periódicas. La concienciación de los usuarios sobre riesgos asociados y la adopción de políticas Zero Trust ayudarán a mitigar el riesgo.
La aparición de este tipo de exploits demuestra la necesidad de fortalecer las medidas de seguridad en torno a herramientas de colaboración. Solo la actualización constante, una configuración restrictiva de privilegios y la monitorización activa permitirán a las organizaciones responder ante amenazas sofisticadas y poco evidentes como esta.
Implicancia para los defensores
El mecanismo de descifrado refleja exactamente Cookie-Monster-BOF, empleando AES-256-GCM después de extraer el nonce y la carga útil cifrada de los valores etiquetados "v10" en la base de datos.
Una vez obtenidos, los tokens permiten llamadas API para recuperar historiales de conversaciones, leer mensajes o enviar contenido de phishing en nombre de las víctimas, lo que aumenta los riesgos en el movimiento lateral o en campañas de ingeniería social.
Tier Zero Security ha hecho pública la herramienta en GitHub y es compatible con cualquier marco C2 que admita cargas útiles de Beacon y no requiere argumentos para su uso básico.
Esta versión subraya una brecha persistente en el modelo de seguridad de Teams en comparación con los navegadores reforzados. Las organizaciones deben priorizar el monitoreo del comportamiento para la inyección de procesos, imponer la ejecución con privilegios mínimos y considerar reglas de detección de puntos finales dirigidas a accesos DPAPI o manipulaciones de controles de vistas web.
Dado que el trabajo híbrido depende en gran medida de Teams, estas vulnerabilidades resaltan la necesidad de un escrutinio continuo de los componentes integrados del navegador en las aplicaciones de productividad.
Mitigaciones
Herramientas como GraphSpy ingieren el token para la lectura indebida de SharePoint o correos electrónicos, limitados a los permisos de Teams (por ejemplo, Chat.ReadWrite, Mail.Send). El token de actualización principal (PRT) de Microsoft se relaciona con esto, lo que permite un SSO fluido pero amplifica los riesgos de reutilización de tokens en todas las aplicaciones.
Las mitigaciones incluyen monitorear "la muerte de ms-teams.exe" o patrones inusuales de ProcMon, aplicar el cifrado vinculado a la aplicación y preferir Teams basados en web para evitar el almacenamiento local.
Rotar tokens a través de políticas de ID de Entra y auditar los registros de API para detectar anomalías. A medida que las amenazas de Teams evolucionan, las reglas EDR compatibles con DPAPI son esenciales.
Se recomienda aumentar la monitorización de actividades sospechosas sobre procesos de Teams y accesos a DPAPI, así como revisar y limitar los privilegios de las cuentas. Es crucial mantener Teams y el sistema operativo actualizados, desplegar soluciones EDR con reglas que detecten manipulaciones de handles y sesiones, y realizar auditorías periódicas. La concienciación de los usuarios sobre riesgos asociados y la adopción de políticas Zero Trust ayudarán a mitigar el riesgo.
Más información
- BOF-Tool exploits Microsoft Teams for stealing authentication cookies and tokens: https://cybersecuritynews.com/bof-tool-exploits-microsoft-teams/
-
Microsoft Teams Access Token Vulnerability Allows Attack Vector for Data Exfiltration: https://intruceptlabs.com/2025/10/microsoft-teams-access-token-vulnerability-allows-attack-vector-for-data-exfiltration/
Fuentes:
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.