Microsoft ha alertado que tanto actores criminales como grupos respaldados por estados están explotando las funcionalidades nativas de Microsoft Teams como parte de sus cadenas de ataque. Dada la alta adopción, los atacantes aprovechan que los usuarios perciben Teams como un entorno “confiable” para insertar malware, robar tokens de acceso y realizar ataques de ingeniería social.
Tácticas de Ataque Dentro de Microsoft Teams
Los atacantes utilizan Teams para moverse lateralmente y escalar privilegios, camuflándose como actividad legítima.
Infiltración y Reconocimiento
- Enumeración Interna: Los atacantes usan herramientas como TeamsEnum y TeamFiltration para mapear usuarios, grupos y la configuración del tenant, buscando permisos laxos o configuraciones débiles de comunicación externa.
- Creación de Identidades Falsas: Se crean tenants personalizados o dominios falsos (whitelabel) para hacerse pasar por soporte técnico o personal interno, lo que permite comunicarse con los usuarios desde una posición de “confianza”.
Distribución de Malware y Engaño
- Phishing desde el Chat: Se envían enlaces maliciosos, archivos infectados o payloads a través de mensajes de Teams, utilizando herramientas específicas como AADInternals o TeamsPhisher para distribuir malware como DarkGate.
- Ingeniería Social (Soporte Falso): Actores como Storm-1811 simulan problemas de soporte técnico (ej. “problemas con el correo”) y luego usan llamadas de Teams para persuadir a los usuarios a instalar software de acceso remoto, lo que permite la toma de control.
Escalamiento y Persistencia
- Abuso de Cuentas: Explotan guest accounts (cuentas de invitado) agregadas maliciosamente y abusan de flujos de autenticación como “device code” para robar tokens de acceso.
- Riesgo Ampliado: Si se comprometen los tokens de autenticación de Entra ID / Azure AD, el ataque se expande mucho más allá de Teams, dando acceso a correo (Outlook), archivos (SharePoint/OneDrive) y otros recursos internos.
Recomendaciones
- Controles de Acceso y Autenticación Fuerte
- MFA Obligatorio: Usar Autenticación Multifactor (MFA) para todas las cuentas, especialmente para las que tienen permisos elevados o acceso a la administración de Teams/Azure AD.
- Restricción de Invitados: Limitar el uso de cuentas “guest” y asegurarse de que siempre operen con el mínimo privilegio.
- Seguridad de Tokens: Auditar los flujos de autenticación y evitar integrar servicios con autenticación débil que puedan ser utilizados para el robo de tokens.
- Endurecer Políticas de Teams
- Comunicación Externa: Restringir quién puede iniciar chats, llamadas o reuniones con personas externas (ajustar las políticas de external access).
- Funciones Innecesarias: Desactivar funciones no necesarias como la subida de archivos desde fuera de la red o ciertas opciones de acceso de invitados sin supervisión estricta.
- Monitoreo Activo y Detección
- Alertas de Anomalías: Configurar alertas ante la aparición de chats con dominios no habituales o cuentas externas nuevas que solicitan permisos o instalan software.
- Detección de Phishing: Utilizar herramientas de seguridad para detectar y bloquear links o archivos sospechosos entregados dentro de la plataforma de mensajería.
- Concientización y Entrenamiento
- Verificación de Identidad: Capacitar a los empleados para desconfiar siempre de solicitudes de soporte técnico no solicitadas o de solicitudes de acceso remoto.
