Los investigadores de ciberseguridad han arrojado luz sobre un punto ciego entre inquilinos que permite a los atacantes eludir las protecciones de Microsoft Defender para Office 365 a través de la función de golpe de invitados en Teams.
“Cuando los usuarios operan como invitados en otro inquilino, sus protecciones están determinadas enteramente por ese entorno de alojamiento, no por su ordenamiento de origen”, dijo en un referencia el investigador de seguridad de Ontinue, Rhys Downing.
“Estos avances aumentan las oportunidades de colaboración, pero incluso amplían la responsabilidad de avalar que esos entornos externos sean confiables y estén adecuadamente protegidos”.
El crecimiento se produce cuando Microsoft ha comenzado a implementar una nueva característica en Teams que permite a los usuarios chatear con cualquier persona por correo electrónico, incluidos aquellos que no usan la plataforma de comunicaciones empresariales, a partir de este mes. Se retraso que el cambio esté habitable a nivel mundial en enero de 2026.
“El destinatario recibirá una invitación por correo electrónico para unirse a la sesión de chat como invitado, lo que permitirá una comunicación y colaboración fluidas”, dijo Microsoft en su anuncio. “Esta puesta al día simplifica la décimo externa y respalda escenarios de trabajo flexibles”.
En caso de que el destinatario ya utilice Teams, se le notifica directamente a través de la aplicación en forma de solicitud de mensaje foráneo. La función está habilitada de forma predeterminada, pero las organizaciones pueden desactivarla utilizando TeamsMessagingPolicy configurando el parámetro “UseB2BInvitesToAddExternalUsers” en “ficticio”.
Dicho esto, esta configuración sólo impide que los usuarios envíen invitaciones a otros usuarios. Esto no les impide aceptar invitaciones de inquilinos externos.
En esta etapa, vale la pena mencionar que el golpe de invitados es diferente del golpe foráneo, que permite a los usuarios inquirir, clamar y chatear con personas que tienen Teams pero que están fuera de sus organizaciones.
La “brecha arquitectónica fundamental” destacada por Ontinue surge del hecho de que las protecciones de Microsoft Defender para Office 365 para Teams pueden no aplicarse cuando un favorecido acepta una invitación a un inquilino foráneo. En otras palabras, al ingresar al margen de seguridad del otro inquilino, el favorecido está sujeto a políticas de seguridad donde se aloja la conversación y no donde reside la cuenta del favorecido.
Es más, abre la puerta a un marco en el que el favorecido puede convertirse en un invitado desprotegido en un entorno taimado dictado por las políticas de seguridad del atacante.
En un marco de ataque hipotético, un actor de amenazas puede crear “zonas libres de protección” desactivando todas las salvaguardas en sus inquilinos o aprovechando licencias que carecen de ciertas opciones de forma predeterminada. Por ejemplo, el atacante puede activar un inquilino taimado de Microsoft 365 utilizando una deshonestidad de bajo costo como Teams Essentials o Business Basic que no viene con Microsoft Defender para Office 365 astuto para usar.
Una vez que se configura el inquilino desprotegido, el atacante puede realizar un registro de la ordenamiento objetivo para resumir más información e iniciar el contacto a través de Teams ingresando la dirección de correo electrónico de la víctima, lo que hace que Teams envíe una invitación cibernética para unirse al chat como invitado.
Quizás el aspecto más preocupante de la condena de ataque es que el correo electrónico llega al orificio de la víctima, poliedro que el mensaje se origina en la propia infraestructura de Microsoft, evitando efectivamente las comprobaciones SPF, DKIM y DMARC. Es poco probable que las soluciones de seguridad del correo electrónico marquen el correo electrónico como taimado, ya que proviene legítimamente de Microsoft.
Si la víctima termina aceptando la invitación, se le concede golpe de invitado en el inquilino del atacante, donde se lleva a final toda la comunicación posterior. El actor de amenazas puede despachar enlaces de phishing o distribuir archivos adjuntos con malware aprovechando la error de estudio de enlaces seguros y archivos adjuntos seguros.
“La ordenamiento de la víctima sigue completamente inconsciente”, dijo Downing. “Sus controles de seguridad nunca se activaron porque el ataque ocurrió fuera de sus límites de seguridad”.
Para guarecerse contra esta confín de ataque, se recomienda a las organizaciones restringir la configuración de colaboración B2B para permitir solo invitaciones de invitados de dominios confiables, implementar controles de golpe entre inquilinos, restringir la comunicación externa de Teams si no es necesaria y capacitar a los usuarios para que estén atentos a las invitaciones no solicitadas de Teams de fuentes externas.
The Hacker News se comunicó con Microsoft para hacer comentarios y actualizaremos la historia si recibimos una respuesta.
