1 de diciembre de 2025

Guest Access en Microsoft Teams puede dejar sin efecto protecciones de Defender y abrir “zonas sin defensa” entre tenants

Guest Access en Microsoft Teams puede dejar sin efecto protecciones de Defender y abrir “zonas sin defensa” entre tenants

Investigadores de Ontinue alertaron sobre un riesgo en Microsoft Teams donde, al aceptar invitaciones como guest en un tenant externo, las protecciones de Microsoft Defender for Office 365 de la organización original pueden quedar sin efecto. La razón: al operar como invitado, las políticas de seguridad que se aplican son las del tenant anfitrión, no las de la empresa del usuario, lo que crea posibles “zonas sin protección” explotables por atacantes. El hallazgo fue reportado recientemente por medios como The Hacker News.

Detalles técnicos del riesgo

Cuando un usuario participa como invitado en otro tenant:

  • La inspección de archivos, enlaces y mensajes depende del host, que puede carecer de antivirus, antimalware o filtros avanzados.

  • Las políticas de Defender de la organización del usuario no se aplican dentro de ese tenant externo.

  • Esto abre la puerta a que un actor malicioso cree un tenant con licencias básicas (Teams Essentials o Business Basic) —que no incluyen Defender— y envíe invitaciones a objetivos específicos.

Si la víctima acepta, todos los mensajes y archivos dentro de ese tenant pueden evadir escaneos y reglas de seguridad, aumentando el riesgo de phishing, malware y fuga de información.

Escenario de explotación

Un atacante puede:

  1. Crear un tenant sin protecciones.

  2. Enviar invitaciones a usuarios corporativos haciéndose pasar por un nuevo socio o proveedor.

  3. Una vez aceptada la invitación, operar en un entorno donde la empresa víctima no controla las defensas.

Aunque no existen campañas masivas confirmadas, la severidad es alta por el impacto que podría tener en endpoints y entornos colaborativos.

Medidas de mitigación

Para reducir el riesgo, se recomienda:

1. Restringir invitados con políticas cross-tenant (Microsoft Entra)

  • Permitir acceso solo desde dominios verificados o partners confiables.

  • Bloquear o limitar dominios desconocidos.

2. Reducir la exposición en Teams

  • Restringir la comunicación externa.

  • Controlar quién puede enviar o aceptar invitaciones guest mediante PowerShell.

3. Endurecer defensas en Microsoft Defender

  • Configurar listas de dominios bloqueados/permitidos.

  • Supervisar el estado de Defender cuando usuarios cambien entre tenants.

4. Revisar y auditar actividad guest

  • Monitorear usuarios invitados existentes.

  • Eliminar tenants externos no necesarios.

  • Revisar logs de acceso y actividad no usual.

5. Capacitar a usuarios

  • Indicar que no acepten invitaciones inesperadas.

  • Verificar la legitimidad de nuevos “socios” o “proveedores” por otro canal.

Conclusión

El riesgo asociado al guest access en Teams evidencia un punto débil en la colaboración B2B: la seguridad depende no solo del propio tenant, sino del tenant externo con el que se interactúa. Ajustar las políticas de acceso, auditar invitados y fortalecer controles en Entra y Defender es clave para evitar que un atacante convierta un tenant externo en una zona sin protección dentro del entorno corporativo.

Fuente: https://radar.offseq.com/threat/ms-teams-guest-access-can-remove-defender-protecti-b06f384b
← Anterior CISA incorpora vulnerabilidad XSS en Ope...
Escrito por:
Luis Carreón
📰 Otras noticias del día
🔐 OpenAI confirma filtración de datos por incidente en Mixpanel; ¿Cómo nos afecta esto?
CISA incorpora vulnerabilidad XSS en OpenPLC ScadaBR (CVE-2021-26829) a su lista KEV por explotación activa
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio