Microsoft Teams ukládá ověřovací tokeny jako prostý text, který nelze rychle opravit

Klient Microsoft Teams ukládá tokeny pro ověřování uživatelů v nezabezpečeném textovém formátu, což podle společnosti zabývající se kybernetickou bezpečností potenciálně umožňuje útočníkům s místním přístupem posílat zprávy a pohybovat se po organizaci i s povoleným dvoufaktorovým ověřováním.

Vectra doporučuje vyhýbat se desktopovému klientovi Microsoftu vytvořenému pomocí platformy Electron pro vytváření aplikací využívajících technologie prohlížeče, dokud Microsoft chybu neopraví. Používání webového klienta Teams uvnitř prohlížeče, jako je Microsoft Edge, je paradoxně bezpečnější, tvrdí Vectra. Nahlášený problém se týká uživatelů Windows, Mac a Linux.

Microsoft se zase domnívá, že exploit Vectra „nesplňuje naši laťku pro okamžitou službu“, protože k infiltraci sítě by byly v první řadě nutné jiné zranitelnosti. Mluvčí řekl Dark Reading , že společnost „bude hledat řešení (problému) v budoucí verzi produktu.

Výzkumníci společnosti Vectra objevili zranitelnost při pomoci zákazníkovi, který se pokoušel odstranit deaktivovaný účet z nastavení Teams. Microsoft vyžaduje, aby uživatelé byli přihlášeni k odinstalaci, takže Vectra se podívala do konfiguračních dat místního účtu. Měli v úmyslu odstranit odkazy na přihlášený účet. Místo toho, když hledali uživatelské jméno v souborech aplikace, našli tokeny, které udělují přístup ke Skype a Outlooku. Každý nalezený token byl aktivní a mohl udělit přístup bez spouštění dvoufaktorového ověření.

Když šli dále, vytvořili experimentální exploit. Jejich verze stáhne stroj SQLite do místní složky, použije jej ke skenování místního úložiště aplikace Teams na ověřovací token a poté uživateli odešle zprávu s vysokou prioritou s vlastním textem tokenu. Potenciální důsledky tohoto exploitu jsou samozřejmě více než phishing některých uživatelů s jejich vlastními tokeny:

Každý, kdo nainstaluje a používá klienta Microsoft Teams v tomto stavu, si zachová přihlašovací údaje potřebné k provedení jakékoli akce možné prostřednictvím uživatelského rozhraní Teams, i když je Teams uzavřen. To umožňuje útočníkům upravovat soubory SharePointu, poštu a kalendáře aplikace Outlook a soubory chatu v Teams. Ještě nebezpečnější je, že útočníci mohou zasahovat do legitimní komunikace v rámci organizace selektivním ničením, exfiltrací nebo zapojením se do cílených phishingových útoků. V současné době není schopnost útočníka pohybovat se v prostředí vaší společnosti omezena.

Vectra poznamenává, že navigace prostřednictvím uživatelského přístupu do Teams je obzvláště bohatým zdrojem phishingových útoků, protože útočníci se mohou vydávat za generální ředitele nebo jiné vedoucí pracovníky a vyžadovat akce a kliknutí od zaměstnanců na nižší úrovni. Jedná se o strategii známou jako obchodní e-mailový kompromis (BEC); o tom si můžete přečíst na blogu Microsoftu On the Issues .

Již dříve bylo zjištěno, že elektronové aplikace obsahují závažné bezpečnostní problémy. Prezentace z roku 2019 ukázala, jak lze zranitelnosti prohlížeče zneužít k vložení kódu do aplikací Skype, Slack, WhatsApp a dalších aplikací Electron. V roce 2020 byla objevena další zranitelnost v desktopové aplikaci WhatsApp Electron, která umožňuje místní přístup k souborům prostřednictvím JavaScriptu vloženého do zpráv.

Požádali jsme společnost Microsoft o komentář a pokud obdržíme odpověď, aktualizujeme tento příspěvek.

Společnost Vectra doporučuje, aby vývojáři, pokud „potřebují pro svou aplikaci používat Electron“, bezpečně ukládali tokeny OAuth pomocí nástrojů, jako je KeyTar. Connor Peoples, bezpečnostní architekt ve společnosti Vectra, řekl Dark Reading, že věří, že Microsoft odchází od Electronu a směřuje k progresivním webovým aplikacím, které poskytnou lepší zabezpečení na úrovni operačního systému týkající se souborů cookie a úložiště.