Vulnerabilidad en Microsoft Teams podría permitir a un hacker obtener control completo de su infraestructura

Microsoft Teams es una nueva plataforma creada por Microsoft que sustenta el trabajo en equipo en las empresas; este tipo de software, que pone a disposición salas de chat, fuentes de noticias y grupos para el año de las empresas, forma parte del paquete 365 de Microsoft Office y no puede ser configurado individualmente; con él, se pueden hacer vídeos por Twitch, compartir archivos y acceder al Block de notas, IPages, Powerpoint y OneNote.

Características

• Permite usar chats de grupo privados para mantener conversaciones de grupo

• Todo el contenido, las herramientas, los usuarios y las conversaciones estarán disponibles en el área de trabajo del equipo.

• Permite disfrutar de un acceso integrado a SharePoint y a OneNote.

• Facilita trabajar en los documentos directamente desde la aplicación.

• Amplia compatibilidad con los estándares de cumplimiento.

• Cifrado de datos en todo momento.

• Autenticación multifactor para una protección de identidades mejorada.

• Agregue acceso rápido a los documentos, a los sitios web y a las aplicaciones que se usen con frecuencia.

• Obtener conectores a herramientas de terceros como RSS, Trello, GitHub y Asana.

• Crear una integración personalizada con interfaces de programación de aplicaciones y otras herramientas de desarrollo

Esta plataforma contiene una vulnerabilidad que, de ser explotada, permitiría a cualquier usuario inyectar código malicioso en la plataforma y aumentar sus privilegios, reportan especialistas en auditorías de sistemas.

Según los reportes, la vulnerabilidad de Microsoft Team puede ser explotada ejecutado un comando de actualización en la versión de escritorio de la aplicación. Este problema también afecta a las versiones de escritorio de WhatsApp y Github, no obstante, cabe destacar que la vulnerabilidad solo se puede utilizar para descargar una carga útil.

Todas las aplicaciones afectadas por esta falla emplean un proyecto de código abierto llamado Squirrel, usado para administrar la instalación y actualización de rutinas, mientras que el administrador de paquetes NuGet administra los archivos, reportan los expertos en auditorías de sistemas. El fallo que afecta a la plataforma radica Squirrel, un proyecto de código abierto que es utilizado para los procesos de instalación y actualización de la aplicación de escritorio y que a su vez utiliza el gestor de paquetes de código abierto NuGet para administrar archivos.

En este sentido, distintos investigadores de seguridad revelaron que a través de la ejecución de un comando de actualización puede un atacante aprovecharse del fallo para ejecutar código de manera arbitraria, explica BleepingComputer.

Lorena Tovar.-

Seguridad

Fuente: https://bit.ly/328qHYI