„Microsoft Teams“ saugo autentifikavimo prieigos raktus aiškiu tekstu, kuris nebus greitai pataisytas

Pasak kibernetinio saugumo bendrovės, „Microsoft Teams“ klientas saugo vartotojo autentifikavimo prieigos raktus neapsaugotu teksto formatu, todėl užpuolikai, turintys vietinę prieigą, gali skelbti pranešimus ir judėti organizacijoje, net jei įjungtas dviejų veiksnių autentifikavimas.

„Vectra“ rekomenduoja vengti „Microsoft“ darbalaukio kliento, sukurto naudojant „Electron“ platformą, kuriant programas naudojant naršyklės technologijas, kol „Microsoft“ nepataisys trūkumo. „Teams“ žiniatinklio kliento naudojimas naršyklėje, pvz., „Microsoft Edge“, paradoksalu, yra saugesnis, teigia Vectra. Pranešta problema turi įtakos „Windows“, „Mac“ ir „Linux“ naudotojams.

„Microsoft“ savo ruožtu mano, kad „Vectra“ išnaudojimas „neatitinka mūsų kriterijų, kad būtų galima nedelsiant aptarnauti“, nes pirmiausia reikės kitų pažeidžiamumų, kad įsiskverbtų į tinklą. Atstovas spaudai sakė „Dark Reading“ , kad bendrovė „išspręs (problemą) būsimame produkto leidime“.

„Vectra“ tyrėjai atrado pažeidžiamumą padėdami klientui, kuris bandė pašalinti išjungtą paskyrą iš „Teams“ sąrankos. „Microsoft“ reikalauja, kad vartotojai būtų prisijungę, kad pašalintų, todėl „Vectra“ peržiūrėjo vietinės paskyros konfigūracijos duomenis. Jie ketino pašalinti nuorodas į prisijungusią paskyrą. Vietoj to, kai jie ieškojo vartotojo vardo programos failuose, jie rado prieigos raktus, suteikiančius prieigą prie „Skype“ ir „Outlook“. Kiekvienas rastas prieigos raktas buvo aktyvus ir galėjo suteikti prieigą nesuaktyvindamas dviejų veiksnių patvirtinimo.

Eidami toliau, jie sukūrė eksperimentinį išnaudojimą. Jų versija atsisiunčia „SQLite“ variklį į vietinį aplanką, naudoja jį „Teams“ programos vietinėje saugykloje, ieškant autentifikavimo prieigos rakto, ir tada išsiunčia vartotojui aukšto prioriteto pranešimą su paties prieigos rakto tekstu. Žinoma, galimos šio išnaudojimo pasekmės yra daugiau nei kai kurių vartotojų sukčiavimas naudojant jų pačių prieigos raktus:

Kiekvienas, kuris įdiegia ir naudoja Microsoft Teams klientą šioje būsenoje, išsaugo kredencialus, reikalingus bet kokiam veiksmui, įmanomam per Teams vartotojo sąsają, atlikti, net kai Teams uždarytas. Tai leidžia užpuolikams keisti „SharePoint“ failus, „Outlook“ paštą ir kalendorius bei „Teams“ pokalbių failus. Dar pavojingiau yra tai, kad užpuolikai gali trukdyti teisėtam bendravimui organizacijoje, selektyviai naikindami, eksfiltruodami arba įsitraukdami į tikslines sukčiavimo atakas. Šiuo metu užpuoliko galimybės judėti jūsų įmonės aplinkoje nėra ribojamos.

Vectra pažymi, kad naršymas per naudotojų prieigą prie Teams yra ypač gausus sukčiavimo atakų šaltinis, nes užpuolikai gali pasirodyti generaliniais direktoriais ar kitais vadovais ir prašyti žemesnio lygio darbuotojų veiksmų bei paspaudimų. Tai strategija, žinoma kaip verslo el. pašto kompromisas (BEC); apie tai galite perskaityti „Microsoft“ tinklaraštyje „On the Issues“ .

Anksčiau buvo nustatyta, kad elektroninėse programose yra rimtų saugumo problemų. 2019 m. pristatymas parodė, kaip naršyklės pažeidžiamumas gali būti naudojamas įterpiant kodą į „Skype“, „Slack“, „WhatsApp“ ir kitas „Electron“ programas. 2020 m. darbalaukio programoje „WhatsApp Electron“ buvo aptiktas dar vienas pažeidžiamumas, leidžiantis vietinę prieigą prie failų naudojant „JavaScript“, įterptą į pranešimus.

Susisiekėme su „Microsoft“ norėdami pakomentuoti ir atnaujinsime šį įrašą, jei gausime atsakymą.

„Vectra“ rekomenduoja kūrėjams, jei jiems „reikia naudoti Electron savo programai“, saugiai saugoti „OAuth“ prieigos raktus naudojant tokius įrankius kaip „KeyTar“. „Vectra“ saugumo architektas Connoras Peoplesas „Dark Reading“ sakė manantis, kad „Microsoft“ atsitraukia nuo „Electron“ ir pereina prie progresyvių žiniatinklio programų, kurios užtikrins geresnę OS lygio slapukų ir saugojimo apsaugą.