Skip to main content

Cómo un gif se usa para robar datos de Microsoft Teams

Un grave problema de seguridad está afectando a los usuarios que están usando Microsoft Teams, así al menos lo confirma la empresa de ciberserguridad CyberArk.

Se trata de la utilización de un archivo gif que al interactuar con el usuario en navegadores y computadores de escritorio, provoca un problema mayor de las contraseñas y datos.

«Descubrimos que al aprovechar una vulnerabilidad de adquisición de subdominio en Microsoft Teams, los atacantes podrían haber usado un gif malicioso para raspar los datos del usuario y, en última instancia, hacerse cargo de la lista completa de cuentas de Teams de una organización. Dado que los usuarios no tendrían que compartir el gif, solo verlo, para verse afectado, las vulnerabilidades como esta tienen la capacidad de propagarse automáticamente. Esta vulnerabilidad habría afectado a todos los usuarios que usan la versión de escritorio o navegador web de Teams», describe CyberArk.

Cómo opera este código malicioso

Durante el examen de CyberArk de la plataforma Teams, el equipo descubrió que cada vez que se abría la aplicación, el cliente crea un nuevo token de acceso temporal, autenticado a través de login.microsoftonline.com. También se generan otros tokens para acceder a servicios compatibles como SharePoint y Outlook.

Se utilizan dos cookies para restringir los permisos de acceso al contenido, «authtoken» y «skypetoken_asm». El token de Skype se envió a teams.microsoft.com y sus subdominios, dos de los cuales fueron vulnerables a la adquisición de un subdominio.

«Si un atacante puede obligar de alguna manera a un usuario a visitar los subdominios que se han apoderado, el navegador de la víctima enviará esta cookie al servidor del atacante, y el atacante (después de recibir el token automático) puede crear un token de Skype», dice el equipo de CyberArk. «Después de hacer todo esto, el atacante puede robar los datos de la cuenta de los equipos de la víctima».

Para lograr esto, es necesario que el atacante emita un certificado para los subdominios comprometidos, solo posible probando la propiedad mediante pruebas como cargar un archivo en una ruta específica. Como los subdominios ya eran vulnerables, este desafío se superó, y al enviar un enlace malicioso al subdominio o al enviar a un equipo un archivo gif , esto podría llevar a la generación del token requerido para comprometer la sesión de Teams de la víctima. Como la imagen solo tenía que verse, esto podría afectar a más de un individuo a la vez.

Un portavoz de Microsoft le dijo al sitio Zdnet sobre el problema que, «abordamos el problema discutido en este blog y trabajamos con el investigador en Divulgación de Vulnerabilidad Coordinada. Si bien no hemos visto ningún uso de esta técnica en la naturaleza, hemos tomado medidas para mantener seguros a nuestros clientes».

Recomendaciones del editor

Firefox tiene una nueva forma de proteger tu privacidad
firefox redisena funcion navegacion privada

Si estás harto de registrarte para obtener nuevas cuentas en línea y luego recibir spam perpetuamente en los días y semanas posteriores, Mozilla tiene una idea que podría ayudarte. La compañía acaba de anunciar que su función Firefox Relay se está integrando directamente en su navegador web Firefox, y podría ayudar a garantizar su privacidad sin ningún problema adicional.

Firefox Relay funciona permitiéndote crear "máscaras" de correo electrónico cuando te registras para obtener nuevas cuentas. En lugar de ingresar sus credenciales reales en el campo de registro, Firefox Relay le proporciona una dirección desechable y un número de teléfono para usar. Cualquier mensaje del sitio web, como recibos de compra, se reenvía a su dirección de correo electrónico real, y toda la información de seguimiento del remitente se elimina para proteger su privacidad.
Mozilla (en inglés)
Eso es similar al servicio de protección de correo electrónico de DuckDuckGo, que también crea direcciones de correo electrónico desechables y elimina cualquier rastreador que encuentre. Del mismo modo, Apple ofrece una herramienta Iniciar sesión con Apple que puede ocultar su dirección de correo electrónico, aunque deja intactos los rastreadores.

Leer más
Bing Chat de Microsoft terminó su lista de espera: cómo registrarse ahora
bing chat microsoft como registrarse

Parece que Microsoft está eliminando la larga lista de espera de Bing Chat. Como informó originalmente Windows Central, los nuevos usuarios que se registran en la lista de espera reciben acceso inmediato al chatbot de IA, sin tener que esperar.

Microsoft no ha eliminado oficialmente la lista de espera, pero debería desaparecer en poco tiempo. El martes, Microsoft reforzó el lanzamiento de OpenAI del modelo GPT-4 al confirmar que era el modelo detrás de Bing Chat. Microsoft también organizará un evento centrado en la IA este jueves, donde esperamos escuchar sobre las integraciones de IA en las aplicaciones de Office de Microsoft como Word y PowerPoint. Es posible que Microsoft elimine la lista de espera durante la presentación.
Foto por Alan Truly
En los primeros días del anuncio de Bing Chat de Microsoft, más de 1 millón de personas se inscribieron en la lista de espera. Microsoft ha dicho que millones más se han unido desde entonces. Solo nos tomó unos días acceder a través de la lista de espera pública, aunque nuestro tiempo inicial con Bing Chat no fue como esperábamos. Desde el lanzamiento, Microsoft ha restringido enormemente las respuestas de Bing Chat debido a algunas conversaciones desquiciadas. Poco a poco ha ganado más libertad, y los usuarios ahora pueden hacer hasta 15 preguntas en una sola sesión y hasta 150 en un día.

Leer más
Cómo dividir la pantalla en Windows 10 y ser más eficientes
Cómo dividir la pantalla en Windows 10.

Aunque Windows 11 lleva ya bastante tiempo entre nosotros, muchos son los que siguen utilizando la versión anterior del sistema operativo, Windows 10, lo cual no es tan extraño. Antes de la llegada de Windows 11, Microsoft reforzó sus mecanismos de ajuste y amplió la funcionalidad de Windows 10, ofreciendo distintas formas de dividir la pantalla en varias ventanas y realizar un trabajo real, con una mejor compatibilidad con pantallas de mayor resolución y varios monitores.

Consulta también nuestras guías de cómo realizar una captura de pantalla en tu PC, cómo obtener Windows 10 gratis y cómo actualizar de Windows 7 a Windows 10.
Dividir la pantalla en Windows 10 con Snap
Una de las contribuciones más importantes del Windows 10 a la modalidad de pantalla dividida es Snap Assist, que te facilita seleccionar la ventana de una aplicación abierta a la hora de escoger cómo organizar tu pantalla. Así es como se hace:

Leer más