Los investigadores de ciberseguridad han descubierto un punto ciego entre inquilinos que permite a los atacantes eludir las protecciones de Microsoft Defender para Office 365 a través de la función de acceso de invitados en Teams.
“Cuando los usuarios actúan como invitados en otro inquilino, su protección está determinada enteramente por ese entorno de alojamiento, no por su organización de origen”, dijo en un informe el investigador de seguridad de Ontinue, Rhys Downing.
“Estos avances aumentan las oportunidades de colaboración, pero también amplían la responsabilidad de garantizar que estos entornos externos sean confiables y estén adecuadamente protegidos”.
El desarrollo se produce cuando Microsoft comenzó a implementar una nueva característica en Teams a partir de este mes que permitirá a los usuarios chatear con cualquier persona por correo electrónico, incluso aquellos que no usan la plataforma de comunicaciones corporativas. Se espera que el cambio esté disponible en todo el mundo en enero de 2026.
“El destinatario recibirá una invitación por correo electrónico para unirse a la sesión de chat como invitado, lo que permitirá una comunicación y colaboración fluidas”, dijo Microsoft en su anuncio. “Esta actualización simplifica la participación externa y respalda escenarios de trabajo flexibles”.
Si el destinatario ya utiliza Teams, se le notificará directamente a través de la aplicación en forma de solicitud de mensaje externo. La función está habilitada de forma predeterminada, pero las organizaciones pueden deshabilitarla mediante TeamsMessagingPolicy configurando el parámetro UseB2BInvitesToAddExternalUsers en falso.
Sin embargo, esta configuración sólo impide que los usuarios envíen invitaciones a otros usuarios. Esto no le impide recibir invitaciones de inquilinos externos.
Vale la pena señalar aquí que el acceso de invitados es diferente del acceso externo, que permite a los usuarios buscar, llamar y chatear con personas que tienen Teams pero que están fuera de su organización.
La “brecha arquitectónica fundamental” destacada por Ontinue surge del hecho de que las protecciones de Microsoft Defender para Office 365 para Teams pueden no aplicarse si un usuario acepta una invitación a un inquilino externo. En otras palabras, al ingresar al límite de seguridad del otro inquilino, el usuario está sujeto a las políticas de seguridad del lugar donde se aloja la conversación, no del lugar donde se encuentra la cuenta del usuario.
Además, abre la puerta a un escenario en el que el usuario puede convertirse en un invitado desprotegido en un entorno malicioso dictado por las políticas de seguridad del atacante.
En un escenario de ataque hipotético, un actor de amenazas podría crear “zonas libres de defensa” desactivando todas las protecciones en sus inquilinos o aprovechando licencias que carecen de ciertas opciones de forma predeterminada. Por ejemplo, el atacante puede configurar un inquilino malicioso de Microsoft 365 utilizando una licencia de bajo costo como Teams Essentials o Business Basic que no está incluida con Microsoft Defender para Office 365.
Una vez que se configura el inquilino desprotegido, el atacante puede realizar un reconocimiento de la organización objetivo para recopilar más información y establecer contacto a través de Teams ingresando la dirección de correo electrónico de la víctima. Esto enviará automáticamente a Teams una invitación para unirse al chat como invitado.
Quizás el aspecto más preocupante de la cadena de ataque es que el correo electrónico termina en la bandeja de entrada de la víctima porque el mensaje se origina en la propia infraestructura de Microsoft y efectivamente elude las comprobaciones SPF, DKIM y DMARC. Es poco probable que las soluciones de seguridad del correo electrónico marquen el correo electrónico como malicioso porque proviene legítimamente de Microsoft.
Si la víctima finalmente acepta la invitación, se le concede acceso de invitado al inquilino del atacante, donde se lleva a cabo toda la comunicación posterior. El actor de amenazas puede enviar enlaces de phishing o difundir archivos adjuntos infectados con malware aprovechando la falta de enlaces seguros y de escaneo seguro de archivos adjuntos.
“La organización de la víctima no está al tanto de esto”, dijo Downing. “Sus controles de seguridad nunca se activaron porque el ataque ocurrió fuera de sus límites de seguridad”.
Para protegerse contra esta línea de ataque, se recomienda a las organizaciones limitar la configuración de colaboración B2B para permitir solo invitaciones de invitados de dominios confiables, implementar controles de acceso entre inquilinos, limitar la comunicación con equipos externos cuando no sea necesario y capacitar a los usuarios para que estén atentos a Teams invitaciones no solicitadas de fuentes externas.
The Hacker News se comunicó con Microsoft para solicitar comentarios y actualizaremos la historia cuando tengamos noticias.
About The Author
