Un exploit recientemente descubierto permite la extracción de cookies y tokens de acceso desde Microsoft Teams, aprovechando técnicas avanzadas de manipulación de procesos. Esta amenaza puede pasar desapercibida y comprometer sesiones activas a nivel corporativo.
Microsoft Teams, ampliamente adoptado en el entorno empresarial para la colaboración y comunicación, ha sido objeto de un nuevo vector de ataque. Investigadores han detectado técnicas que permiten a atacantes acceder a información sensible mediante la exfiltración de cookies y tokens de acceso, todo ello gracias a la explotación del proceso ms-teams.exe y la manipulación avanzada de handles de sistema.
La explotación consiste en la inyección de código dentro del proceso legítimo de Microsoft Teams, permitiendo el acceso directo a archivos de cookies protegidos. A través del uso del Data Protection API (DPAPI) de Windows, los atacantes descifran y extraen estos datos, obteniendo así los tokens que permiten el acceso no autorizado a recursos y conversaciones de Teams. La técnica logra camuflarse como actividad legítima y evitar la detección por soluciones de seguridad tradicionales.
El principal impacto es el secuestro de sesiones de usuario, poniendo en peligro la información empresarial, credenciales e integridad de las comunicaciones. Además, la sigilosidad del ataque favorece movimientos laterales y la posibilidad de que actores maliciosos permanezcan largos periodos de tiempo dentro del entorno corporativo. Otros productos basados en tecnologías similares también podrían verse afectados.
Se recomienda aumentar la monitorización de actividades sospechosas sobre procesos de Teams y accesos a DPAPI, así como revisar y limitar los privilegios de las cuentas. Es crucial mantener Teams y el sistema operativo actualizados, desplegar soluciones EDR con reglas que detecten manipulaciones de handles y sesiones, y realizar auditorías periódicas. La concienciación de los usuarios sobre riesgos asociados y la adopción de políticas Zero Trust ayudarán a mitigar el riesgo.
La aparición de este tipo de exploits demuestra la necesidad de fortalecer las medidas de seguridad en torno a herramientas de colaboración. Solo la actualización constante, una configuración restrictiva de privilegios y la monitorización activa permitirán a las organizaciones responder ante amenazas sofisticadas y poco evidentes como esta.
Más información
- BOF-Tool exploits Microsoft Teams for stealing authentication cookies and tokens: https://cybersecuritynews.com/bof-tool-exploits-microsoft-teams/
-
Microsoft Teams Access Token Vulnerability Allows Attack Vector for Data Exfiltration: https://intruceptlabs.com/2025/10/microsoft-teams-access-token-vulnerability-allows-attack-vector-for-data-exfiltration/
