Microsoft Teams archivia i token di autenticazione in testo non crittografato che non verrà corretto rapidamente

Microsoft Teams archivia i token di autenticazione in testo non crittografato che non verrà corretto rapidamente

Il client Microsoft Teams memorizza i token di autenticazione dell’utente in un formato di testo non protetto, consentendo potenzialmente agli aggressori con accesso locale di pubblicare messaggi e spostarsi all’interno dell’organizzazione anche con l’autenticazione a due fattori abilitata, secondo la società di sicurezza informatica.

Vectra consiglia di evitare il client desktop di Microsoft creato utilizzando la piattaforma Electron per la creazione di applicazioni utilizzando le tecnologie del browser fino a quando Microsoft non risolve il difetto. L’utilizzo del client Web Teams all’interno di un browser come Microsoft Edge è, paradossalmente, più sicuro, afferma Vectra. Il problema segnalato interessa gli utenti Windows, Mac e Linux.

Microsoft, da parte sua, ritiene che l’exploit Vectra “non soddisfi i nostri requisiti per un servizio immediato”, poiché sarebbero necessarie altre vulnerabilità per infiltrarsi nella rete in primo luogo. Un portavoce ha detto a Dark Reading che la società “cercherebbe di risolvere (il problema) in una futura versione del prodotto”.

I ricercatori di Vectra hanno scoperto la vulnerabilità mentre aiutavano un cliente che stava tentando di rimuovere un account disabilitato dalla configurazione di Teams. Microsoft richiede agli utenti di eseguire l’accesso per la disinstallazione, quindi Vectra ha esaminato i dati di configurazione dell’account locale. Volevano rimuovere i collegamenti all’account connesso. Invece, quando hanno cercato il nome utente nei file dell’applicazione, hanno trovato token che concedono l’accesso a Skype e Outlook. Ogni token trovato era attivo e poteva concedere l’accesso senza attivare la verifica a due fattori.

Andando oltre, hanno creato un exploit sperimentale. La loro versione scarica il motore SQLite in una cartella locale, lo usa per scansionare l’archivio locale dell’app Teams alla ricerca di un token di autenticazione, quindi invia un messaggio ad alta priorità all’utente con il testo del token. Le potenziali conseguenze di questo exploit vanno ovviamente oltre il phishing di alcuni utenti con i propri token:

Chiunque installi e utilizzi il client Microsoft Teams in questo stato conserva le credenziali necessarie per eseguire qualsiasi azione possibile tramite l’interfaccia utente di Teams, anche quando Teams è chiuso. Ciò consente agli aggressori di modificare i file di SharePoint, la posta e i calendari di Outlook e i file di chat di Teams. Ancora più pericoloso è che gli aggressori possano interferire con le comunicazioni legittime all’interno di un’organizzazione distruggendo, esfiltrando o impegnandosi in attacchi di phishing mirati in modo selettivo. Al momento, la capacità di un utente malintenzionato di muoversi nell’ambiente della tua azienda non è limitata.

Vectra osserva che la navigazione attraverso l’accesso degli utenti a Teams è una fonte particolarmente ricca per gli attacchi di phishing, poiché gli aggressori possono fingere di essere amministratori delegati o altri dirigenti e sollecitare azioni e clic da dipendenti di livello inferiore. Questa è una strategia nota come Business Email Compromise (BEC); puoi leggerlo sul blog Microsoft On the Issues .

In precedenza si era scoperto che le applicazioni Electron contenevano seri problemi di sicurezza. Una presentazione del 2019 ha mostrato come sfruttare le vulnerabilità del browser per inserire codice in Skype, Slack, WhatsApp e altre app Electron. Nel 2020 è stata scoperta un’altra vulnerabilità nell’applicazione desktop WhatsApp Electron, che consente l’accesso locale ai file tramite JavaScript incorporato nei messaggi.

Abbiamo contattato Microsoft per un commento e aggiorneremo questo post se riceviamo una risposta.

Vectra consiglia agli sviluppatori, se “hanno bisogno di utilizzare Electron per la loro applicazione”, di archiviare in modo sicuro i token OAuth utilizzando strumenti come KeyTar. Connor Peoples, architetto della sicurezza di Vectra, ha dichiarato a Dark Reading che crede che Microsoft si stia allontanando da Electron e si stia spostando verso Progressive Web Apps, che fornirà una migliore sicurezza a livello di sistema operativo per quanto riguarda i cookie e l’archiviazione.

Uncategorized
admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Il display e il vetro posteriore dell'iPhone 14 sono molto più facili da riparare
Discord imita Reddit con una nuova funzionalità del forum
Risolto: Microsoft Teams non si apre

Risolto: Microsoft Teams non si apre

  • 01 Apr 2023
  • 40
La nuova versione di Microsoft Teams è più veloce e richiede meno memoria.

La nuova versione di Microsoft Teams è più veloce e richiede meno memoria.

  • 28 Mar 2023
  • 44
Come correggere l’errore CAA20003 o CAA2000C di Microsoft Teams

Come correggere l’errore CAA20003 o CAA2000C di Microsoft Teams

  • 23 Mar 2023
  • 51