¿Recibiste una invitación de Teams de un desconocido? Por qué no debes abrirla bajo ninguna circunstancia
Estafadores descubren un método completamente legal para burlar incluso las barreras digitales más seguras.
La ampliación de las capacidades de Microsoft Teams para interactuar con interlocutores externos ofrece no solo comodidad, sino también nuevos riesgos. El equipo de Ontinue describió el mecanismo, que permite eludir la protección Microsoft Defender for Office 365 aprovechando las características del acceso de invitado y utilizar la infraestructura de Microsoft para entregar correos de phishing, casi sin despertar sospechas en los filtros de correo.
El problema está relacionado con que al trabajar en un tenant ajeno, el usuario recibe la protección no de su propia organización, sino de la infraestructura de la parte receptora. Si un empleado acepta la invitación como invitado en un tenant externo, se aplican las políticas de seguridad de otra empresa. El acceso de invitado difiere del acceso externo en Teams: en el primer caso el usuario entra en el entorno ajeno donde tiene lugar la comunicación.
Según Ris Downing de Ontinue, esto crea una brecha arquitectónica. El atacante puede crear su propio tenant de Microsoft 365 con una licencia económica como Teams Essentials o Business Basic, donde inicialmente no existe Microsoft Defender for Office 365, o desactivar las protecciones disponibles. Ese tenant se convierte en una especie de «zona sin filtros».
A continuación el atacante realiza reconocimiento, recopila direcciones en la organización objetivo e inicia contacto a través de Teams indicando el correo electrónico de la víctima. El servicio envía automáticamente una invitación para unirse al chat como invitado. El correo proviene de la infraestructura de Microsoft, por lo que supera las comprobaciones SPF, DKIM y DMARC. Las pasarelas de correo y las soluciones de filtrado suelen no considerar sospechosas esas notificaciones porque parecen mensajes de servicio legítimos.
Si el destinatario pulsa la invitación y la acepta, obtiene acceso de invitado en el tenant del atacante. Todos los mensajes y adjuntos posteriores se rigen por las políticas de seguridad de ese entorno externo. La ausencia de mecanismos como Safe Links y Safe Attachments permite difundir enlaces y archivos maliciosos prácticamente sin restricciones. Además, la propia organización del usuario puede no detectar el tráfico sospechoso, ya que el ataque ocurre fuera de su perímetro.
Microsoft ya ha comenzado a implementar en Teams la función de enviar mensajes a cualquier dirección de correo electrónico, incluidos usuarios que no usan el servicio. La función está activada por defecto, y se puede desactivar el envío de esas invitaciones mediante la política TeamsMessagingPolicy cambiando el parámetro «UseB2BInvitesToAddExternalUsers» a «false». Sin embargo, esto no impide que los empleados reciban invitaciones de tenants externos, lo que mantiene el vector de ataque descrito.
Para reducir los riesgos, los especialistas de Ontinue recomiendan limitar la colaboración B2B a una lista de dominios de confianza, usar políticas de acceso entre tenants, restringir estrictamente las comunicaciones externas en Teams cuando sea necesario y formar a los empleados para que actúen con precaución ante invitaciones no solicitadas a chats externos.
Las huellas digitales son tu debilidad, y los hackers lo saben