Los investigadores de ciberseguridad han descubierto un punto ciego entre inquilinos que permite a los atacantes eludir las protecciones de Microsoft Defender para Office 365 a través de la función Acceso de invitados en Teams.
«Cuando un usuario opera como invitado en otro inquilino, su protección está determinada completamente por su entorno de alojamiento, no por su organización de origen», dijo en el informe el investigador de seguridad de Ontinue, Rhys Downing.
«Si bien estos avances aumentan las oportunidades de colaboración, también amplían nuestra responsabilidad de garantizar que el entorno externo sea confiable y esté adecuadamente protegido».
El desarrollo se produce cuando Microsoft comenzó a implementar una nueva característica en Teams este mes que permite a los usuarios chatear con cualquier persona por correo electrónico, incluidos aquellos que no usan la plataforma de comunicaciones empresariales. Se espera que este cambio esté disponible en todo el mundo en enero de 2026.
«Los destinatarios recibirán una invitación por correo electrónico para unirse a la sesión de chat como invitados, lo que permitirá una comunicación y colaboración fluidas», dijo Microsoft en un anuncio. «Esta actualización simplifica la colaboración externa y admite escenarios de trabajo flexibles».
Si el destinatario ya utiliza Teams, se le notificará directamente a través de la aplicación en forma de solicitud de mensaje externo. Esta función está habilitada de forma predeterminada, pero las organizaciones pueden desactivarla usando TeamsMessagingPolicy y configurando el parámetro «UseB2BInvitesToAddExternalUsers» en «false».
Sin embargo, esta configuración sólo impide que los usuarios envíen invitaciones a otros usuarios. Esto no le impide recibir invitaciones de inquilinos externos.
En esta etapa, vale la pena mencionar que el acceso de invitados es diferente del acceso externo. El acceso externo permite a los usuarios buscar, llamar y chatear con personas que tienen Teams pero que están fuera de su organización.
La «brecha arquitectónica fundamental» que destacó Ontinue surge del hecho de que las protecciones de equipos de Microsoft Defender para Office 365 pueden no aplicarse cuando un usuario acepta una invitación a un inquilino externo. Esto significa que al ingresar al límite de seguridad de otro inquilino, el usuario está sujeto a las políticas de seguridad de la ubicación donde se aloja la conversación, no a la de donde reside la cuenta del usuario.
Además, abre la puerta a escenarios en los que el usuario podría convertirse en un invitado desprotegido en un entorno malicioso dictado por la política de seguridad del atacante.
En un escenario de ataque hipotético, un actor de amenazas podría crear una «zona sin protección» desactivando todas las salvaguardas dentro de un inquilino o aprovechando licencias que carecen de ciertas opciones de forma predeterminada. Por ejemplo, un atacante podría iniciar un inquilino malicioso de Microsoft 365 utilizando una licencia de bajo costo como Teams Essentials o Business Basic que no viene con Microsoft Defender para Office 365 listo para usar.
Una vez que se configura un inquilino no seguro, el atacante puede realizar un reconocimiento de la organización objetivo, recopilar detalles e ingresar la dirección de correo electrónico de la víctima para iniciar el contacto a través de Teams. Luego, Teams le enviará una invitación automática para unirse al chat como invitado.
Quizás el aspecto más preocupante de la cadena de ataque es el correo electrónico que llega al buzón de la víctima, dado que el mensaje se origina en la propia infraestructura de Microsoft, evitando efectivamente las comprobaciones SPF, DKIM y DMARC. Debido a que el correo electrónico se envía legítimamente desde Microsoft, hay pocas posibilidades de que su solución de seguridad de correo electrónico lo marque como malicioso.
Si la víctima acepta la invitación, se le concederá acceso de invitado en el inquilino del atacante y todas las comunicaciones posteriores se llevarán a cabo allí. Los atacantes pueden aprovechar la falta de enlaces seguros o de escaneo seguro de archivos adjuntos enviando enlaces de phishing o distribuyendo archivos adjuntos con malware.
«Las organizaciones de víctimas siguen completamente inconscientes», dijo Downing. «Debido a que el ataque ocurrió fuera del perímetro de seguridad, no se activaron controles de seguridad».
Para evitar esta línea de ataque, recomendamos que las organizaciones restrinjan la configuración de colaboración B2B para permitir solo invitaciones de invitados de dominios confiables, implementen controles de acceso entre inquilinos, restrinjan la comunicación externa de Teams cuando no sea necesaria y capaciten a los usuarios para que tengan cuidado con las invitaciones de Teams no solicitadas de fuentes externas.
Hacker News se comunicó con Microsoft para hacer comentarios y actualizará el artículo si recibimos una respuesta.
Source link
