Imagen Principal

Investigadores de seguridad de Ontinue han descubierto un “punto ciego entre inquilinos” en Microsoft Teams que permite a los atacantes eludir las protecciones de Microsoft Defender for Office 365 mediante la función de acceso de invitados.

El problema radica en que cuando un usuario opera como invitado en un inquilino externo, sus protecciones de seguridad son determinadas completamente por el entorno de alojamiento, y no por las políticas de seguridad de su organización de origen. Esta brecha arquitectónica fundamental abre la puerta a escenarios de ataque donde los usuarios se convierten en invitados desprotegidos en un entorno malicioso controlado por el atacante.

El Nuevo Contexto de Colaboración en Teams

El hallazgo surge en un momento en que Microsoft está implementando una nueva característica en Teams que permite a los usuarios chatear con cualquier persona por correo electrónico, incluso si no utilizan la plataforma empresarial. Esta función, que se espera esté globalmente disponible para enero de 2026, simplifica la colaboración externa al enviar invitaciones automáticas por correo electrónico para unirse a una sesión de chat como invitado.

Aunque la nueva función está habilitada por defecto, las organizaciones pueden desactivarla usando la política TeamsMessagingPolicy y configurando el parámetro UseB2BInvitesToAddExternalUsers a false. Sin embargo, esta configuración solo impide que los usuarios envíen invitaciones, no evita que las reciban de inquilinos externos.

El Escenario de Ataque: “Zonas Libres de Protección”

Los investigadores de Ontinue describen un escenario de ataque hipotético que explota este punto ciego:

  1. Preparación del Atacante: Un actor de amenazas crea un inquilino malicioso de Microsoft 365. Utiliza una licencia de bajo costo, como Teams Essentials o Business Basic, que no incluye Microsoft Defender for Office 365 por defecto. Esto crea una “zona libre de protección” donde no se aplican escaneos de seguridad.
  2. Envío de Invitación Maliciosa: El atacante realiza un reconocimiento del objetivo y luego inicia un chat en Teams con la dirección de correo electrónico de la víctima. Teams envía automáticamente una invitación al correo electrónico de la víctima para unirse al chat como invitado.
  3. Bypass de Defensas por Correo Electrónico: Dado que el mensaje de invitación se origina desde la infraestructura de Microsoft, el correo electrónico elude efectivamente las comprobaciones SPF, DKIM y DMARC de la organización de la víctima. Esto hace que las soluciones de seguridad de correo electrónico sean poco propensas a marcar el mensaje como malicioso.
  4. Ejecución del Ataque: Si la víctima acepta la invitación, obtiene acceso de invitado al inquilino del atacante. En este entorno desprotegido, el actor de amenazas puede enviar enlaces de phishing o adjuntos cargados con malware, aprovechando la falta de escaneos de Safe Links y Safe Attachments.

La principal preocupación es que la organización de la víctima permanece completamente ajena a la situación, ya que el ataque ocurre fuera de su perímetro de seguridad. Sus controles de seguridad nunca se activan porque la conversación se aloja en el inquilino del atacante.

Recomendaciones de Mitigación

Para protegerse contra esta línea de ataque, se recomienda a las organizaciones adoptar las siguientes medidas:

  • Restringir Colaboración B2B: Configurar la colaboración B2B para permitir invitaciones de invitados únicamente desde dominios de confianza.
  • Controles de Acceso entre Inquilinos: Implementar controles de acceso entre inquilinos para gestionar cómo los usuarios interactúan con entornos externos.
  • Restringir Comunicación Externa: Limitar la comunicación externa de Teams si no es estrictamente necesaria para las operaciones de la organización.
  • Concienciación de Usuarios: Capacitar a los usuarios para que estén atentos a las invitaciones no solicitadas de Teams provenientes de fuentes externas.

Conclusión

La investigación de Ontinue subraya la necesidad de reevaluar las políticas de seguridad en entornos de colaboración en la nube. A medida que las plataformas como Teams facilitan la interacción externa, las organizaciones deben implementar controles estrictos de acceso entre inquilinos para mitigar los riesgos asociados con los puntos ciegos de seguridad que surgen al operar en entornos de terceros.