Ferramenta BOF atinge cookies do Microsoft Teams

O ICSLabs identificou uma técnica que permite atores mal intencionados interagir com as APIs do Microsoft Teams, Skype e Microsoft Graph para ler e enviar mensagens em nome da vítima, possibilitando exfiltração de dados, spear-phishing interno e movimentos laterais sem necessidade de senha ou de contornar MFA diretamente.

A técnica funciona se aprovieitando da maneira que o Microsoft Teams utiliza processos WebView (msedgewebview2.exe) e armazena cookies em um banco SQLite local. As ferramentas adaptadas do “Cookie-Monster-BOF” são capazes de duplicar handles abertos ao arquivo de cookies, ler o arquivo SQLite e usar a chave DPAPI do usuário para descriptografar a chave de estado, permitindo obter cookies válidos que autorizam ação em nome do usuário. No Teams essa extração não requer privilégios elevados, bastando ser executada no contexto do mesmo usuário atacado (via execução de código arbitrário dentro do processo ms-teams.exe ou processos com as mesmas permissões). 

O impacto é alto: sessões ativas podem ser usurpadas para comprometer comunicações internas e acionar APIs do Graph para atividades adicionais. Além disso, a ferramenta utilizada ainda é compatível com múltiplos frameworks de comando e controle. 

Indicadores e artefatos a monitorar incluem a presença e atividade de processos ms-teams.exe e msedgewebview2.exe e seus processos filhos WebView, acessos e leituras incomuns dos arquivos de cookies/SQLite típicos em perfis do Teams (por exemplo sob %LOCALAPPDATA%\Microsoft\Teams\ ou perfis WebView2 do usuário), detecção de duplicação de handles ou chamadas às APIs de gerenciamento de handles (indicativas de DuplicateHandle/ProcessAccess), injeção de código ou módulos suspeitos carregados em ms-teams.exe, leituras de arquivos SQLite de cookies por processos não esperados e tráfego de exfiltração ou chamadas anômalas para endpoints externos logo após acesso aos cookies. 

Últimas atualizações

• 23 de agosto, 2025: O blog Randorisec publicou o artigo “Stealing Microsoft Teams access tokens in 2025”, no qual mostra que a captura de cookies do Teams pode permitir a interação entre APIs do Teams, Skype e Graph, para envio e recebimento de mensagens. 

• 03 de agosto, 2025: o usuário do Github “clod81” lançou no Github a ferramenta teams-cookies-bof, que faz uso da técnica divulgada no blog citado acima.