Microsoft Teams tallentaa todennustunnukset selkeänä tekstinä, jota ei korjata nopeasti

Microsoft Teams -asiakasohjelma tallentaa käyttäjien todennustunnukset suojaamattomassa tekstimuodossa, mikä mahdollistaa paikallisen pääsyn omaavien hyökkääjien lähettää viestejä ja liikkua organisaatiossa, vaikka kaksivaiheinen todennus olisi käytössä, kyberturvallisuusyhtiön mukaan.

Vectra suosittelee välttämään Microsoftin Electron-alustalla rakennettua työpöytäasiakasta sovellusten rakentamiseen selaintekniikoilla, kunnes Microsoft korjaa vian. Teams-verkkoasiakkaan käyttäminen Microsoft Edgen kaltaisessa selaimessa on paradoksaalisesti turvallisempaa, Vectra väittää. Ilmoitettu ongelma vaikuttaa Windows-, Mac- ja Linux-käyttäjiin.

Microsoft puolestaan ​​uskoo, että Vectran hyväksikäyttö ”ei täytä välitöntä palvelua koskevaa vaatimusta”, koska verkkoon tunkeutuminen edellyttää muita haavoittuvuuksia. Tiedottaja kertoi Dark Readingille , että yritys ”tutkisi (ongelman) ratkaisemista tulevassa tuotejulkaisussa”.

Vectran tutkijat löysivät haavoittuvuuden auttaessaan asiakasta, joka yritti poistaa käytöstä poistettua tiliä Teams-asetuksistaan. Microsoft edellyttää, että käyttäjät ovat kirjautuneet sisään asennuksen poistamiseksi, joten Vectra tutki paikallisen tilin määritystietoja. He aikoivat poistaa linkit kirjautuneeseen tiliin. Sen sijaan, kun he etsivät käyttäjänimen sovellustiedostoista, he löysivät tunnuksia, jotka antavat pääsyn Skypeen ja Outlookiin. Jokainen löydetty tunnus oli aktiivinen ja pystyi myöntämään pääsyn käynnistämättä kaksivaiheista vahvistusta.

Edelleen he loivat kokeellisen hyödyn. Heidän versionsa lataa SQLite-moottorin paikalliseen kansioon, käyttää sitä Teams-sovelluksen paikallisessa tallennustilassa todennustunnuksen etsimiseen ja lähettää sitten käyttäjälle korkean prioriteetin viestin, jossa on tunnuksen oma teksti. Tämän hyväksikäytön mahdolliset seuraukset ovat tietysti enemmän kuin joidenkin käyttäjien tietojenkalastelu omilla tunnuksilla:

Jokainen, joka asentaa ja käyttää Microsoft Teams -asiakasohjelmaa tässä tilassa, säilyttää valtuustiedot, joita tarvitaan kaikkien Teams-käyttöliittymän kautta mahdollisten toimintojen suorittamiseen, vaikka Teams olisi suljettu. Näin hyökkääjät voivat muokata SharePoint-tiedostoja, Outlook-sähköpostia ja -kalentereita sekä Teamsin keskustelutiedostoja. Vielä vaarallisempaa on, että hyökkääjät voivat häiritä laillista viestintää organisaation sisällä tuhoamalla, suodattumalla tai osallistumalla kohdennettuihin tietojenkalasteluhyökkäuksiin. Tällä hetkellä hyökkääjän kykyä liikkua yrityksesi ympäristössä ei ole rajoitettu.

Vectra huomauttaa, että Teams-käyttäjien pääsyn kautta navigointi on erityisen rikas tietojenkalasteluhyökkäysten lähde, sillä hyökkääjät voivat esiintyä toimitusjohtajana tai muina johtajina ja pyytää toimia ja napsautuksia alemman tason työntekijöiltä. Tämä on strategia, joka tunnetaan nimellä business email kompromissi (BEC); voit lukea siitä Microsoftin On the Issues -blogista .

Elektronisovellusten havaittiin aiemmin sisältävän vakavia tietoturvaongelmia. Vuoden 2019 esitys osoitti, kuinka selaimen haavoittuvuuksia voidaan hyödyntää koodin lisäämiseksi Skype-, Slacki-, WhatsAppi- ja muihin Electron-sovelluksiin. Vuonna 2020 WhatsApp Electron -työpöytäsovelluksesta löydettiin toinen haavoittuvuus, joka sallii paikallisen pääsyn tiedostoihin viesteihin upotetun JavaScriptin kautta.

Olemme ottaneet yhteyttä Microsoftiin kommentteja varten ja päivitämme tämän viestin, jos saamme vastauksen.

Vectra suosittelee, että kehittäjät tallentavat OAuth-tunnukset turvallisesti KeyTarin kaltaisten työkalujen avulla, jos heidän ”täytyy käyttää Electronia sovellukseensa”. Vectran turvallisuusarkkitehti Connor Peoples kertoi Dark Readingille uskovansa, että Microsoft on siirtymässä pois Electronista ja siirtymässä kohti progressiivisia verkkosovelluksia, jotka tarjoavat paremman käyttöjärjestelmätason suojauksen evästeiden ja tallennustilan suhteen.