Microsoft Teams gemmer godkendelsestokens i klar tekst, der ikke bliver rettet hurtigt

Microsoft Teams-klienten gemmer brugergodkendelsestokens i et usikret tekstformat, hvilket potentielt giver angribere med lokal adgang til at sende beskeder og bevæge sig rundt i organisationen, selv med tofaktorautentificering aktiveret, ifølge cybersikkerhedsfirmaet.

Vectra anbefaler, at man undgår Microsofts desktop-klient bygget ved hjælp af Electron-platformen til at bygge applikationer ved hjælp af browserteknologier, indtil Microsoft har rettet fejlen. At bruge Teams-webklienten i en browser som Microsoft Edge er paradoksalt nok mere sikkert, hævder Vectra. Det rapporterede problem påvirker Windows-, Mac- og Linux-brugere.

Microsoft mener på sin side, at Vectra-udnyttelsen “ikke opfylder vores bar for øjeblikkelig service”, da andre sårbarheder ville være nødvendige for at infiltrere netværket i første omgang. En talsmand fortalte Dark Reading , at virksomheden ville “se på at løse (problemet) i en fremtidig produktudgivelse.”

Vectra-forskere opdagede sårbarheden, mens de hjalp en kunde, der forsøgte at fjerne en deaktiveret konto fra deres Teams-opsætning. Microsoft kræver, at brugere er logget ind for at afinstallere, så Vectra undersøgte de lokale kontokonfigurationsdata. De havde til hensigt at fjerne links til den loggede konto. I stedet, da de slog brugernavnet op i applikationsfilerne, fandt de tokens, der giver adgang til Skype og Outlook. Hvert fundet token var aktivt og kunne give adgang uden at udløse to-faktor verifikation.

Går de videre, skabte de en eksperimentel udnyttelse. Deres version downloader SQLite-motoren til en lokal mappe, bruger den til at scanne Teams-appens lokale lager for et godkendelsestoken og sender derefter en højprioritet besked til brugeren med tokenets egen tekst. De potentielle konsekvenser af denne udnyttelse er naturligvis mere end at phishe nogle brugere med deres egne tokens:

Enhver, der installerer og bruger Microsoft Teams-klienten i denne tilstand, bevarer de legitimationsoplysninger, der kræves for at udføre enhver handling, der er mulig via Teams-brugergrænsefladen, selv når Teams er lukket. Dette giver angribere mulighed for at ændre SharePoint-filer, Outlook-mail og -kalendere og Teams-chatfiler. Endnu mere farligt er det, at angribere kan forstyrre lovlig kommunikation i en organisation ved selektivt at ødelægge, eksfiltrere eller deltage i målrettede phishing-angreb. I øjeblikket er en angribers evne til at bevæge sig rundt i din virksomheds miljø ikke begrænset.

Vectra bemærker, at navigation gennem brugeradgang til Teams er en særlig rig kilde til phishing-angreb, da angribere kan udgive sig som administrerende direktører eller andre ledere og anmode om handlinger og klik fra medarbejdere på lavere niveau. Dette er en strategi kendt som business email compromise (BEC); du kan læse om det på Microsoft-bloggen On the Issues .

Elektronapplikationer viste sig tidligere at indeholde alvorlige sikkerhedsproblemer. En præsentation fra 2019 viste, hvordan browsersårbarheder kan udnyttes til at injicere kode i Skype, Slack, WhatsApp og andre Electron-apps. I 2020 blev en anden sårbarhed opdaget i WhatsApp Electron desktop-applikationen, der tillader lokal adgang til filer via JavaScript indlejret i meddelelser.

Vi har kontaktet Microsoft for at få en kommentar og vil opdatere dette indlæg, hvis vi får et svar.

Vectra anbefaler, at udviklere, hvis de “skal bruge Electron til deres applikation”, opbevarer OAuth-tokens sikkert ved hjælp af værktøjer såsom KeyTar. Connor Peoples, sikkerhedsarkitekt hos Vectra, fortalte Dark Reading, at han mener, at Microsoft bevæger sig væk fra Electron og bevæger sig mod Progressive Web Apps, som vil give bedre sikkerhed på OS-niveau med hensyn til cookies og lagring.