Investigadores de ciberseguridad han revelado un nuevo exploit que afecta a Microsoft Teams, capaz de extraer cookies y tokens de acceso de forma silenciosa mediante técnicas avanzadas de manipulación de procesos. Esta vulnerabilidad permite comprometer sesiones activas sin generar alertas visibles, lo que supone un riesgo considerable para entornos corporativos.

El ataque se basa en la inyección de código malicioso dentro del proceso legítimo ms-teams.exe, otorgando acceso directo a archivos de cookies protegidos. Aprovechando la Data Protection API (DPAPI) de Windows, los atacantes pueden descifrar y exfiltrar tokens de autenticación, obteniendo control sobre cuentas y conversaciones dentro de Teams.
La actividad maliciosa se disfraza como legítima, lo que le permite evadir la detección de soluciones de seguridad tradicionales.

El impacto principal de esta técnica es el secuestro de sesiones de usuario, exponiendo información corporativa sensible, credenciales e incluso permitiendo movimientos laterales dentro de la red.
Debido a la naturaleza del ataque, se advierte que otras aplicaciones que utilicen mecanismos similares de autenticación podrían ser igualmente vulnerables.

Recomendaciones

Los expertos recomiendan:

• Monitorear procesos de Teams y accesos inusuales al servicio DPAPI.
• Actualizar Microsoft Teams y Windows con los últimos parches de seguridad.
• Limitar privilegios de usuario y reforzar la supervisión mediante herramientas EDR con detección de manipulación de handles y sesiones.
• Adoptar políticas Zero Trust y reforzar la concienciación de los empleados frente a ataques sigilosos.

La aparición de exploits de este tipo subraya la necesidad de reforzar la seguridad en herramientas de colaboración corporativa. Solo una vigilancia continua, configuraciones restrictivas y actualizaciones constantes permitirán reducir el riesgo frente a amenazas avanzadas y difíciles de detectar.

https://unaaldia.hispasec[.]com/