Microsoft Teams saglabā autentifikācijas pilnvaras skaidrā tekstā, kas netiks ātri salabots

Microsoft Teams klients glabā lietotāju autentifikācijas pilnvaras nenodrošinātā teksta formātā, potenciāli ļaujot uzbrucējiem ar lokālu piekļuvi publicēt ziņojumus un pārvietoties pa organizāciju pat tad, ja ir iespējota divu faktoru autentifikācija, norāda kiberdrošības uzņēmums.

Vectra iesaka izvairīties no Microsoft darbvirsmas klienta, kas izveidots, izmantojot Electron platformu, lai izveidotu lietojumprogrammas, izmantojot pārlūkprogrammas tehnoloģijas, līdz Microsoft novērsīs trūkumu. Vectra apgalvo, ka Teams tīmekļa klienta izmantošana pārlūkprogrammā, piemēram, Microsoft Edge, paradoksālā kārtā ir drošāka. Paziņotā problēma skar Windows, Mac un Linux lietotājus.

Microsoft savukārt uzskata, ka Vectra ļaunprātīga izmantošana “neatbilst mūsu tūlītējai apkalpošanai”, jo, lai tīklā iekļūtu, vispirms būtu nepieciešamas citas ievainojamības. Pārstāvis Dark Reading sacīja , ka uzņēmums “izpētīs (problēmas) risināšanu turpmākajā produkta izlaidumā”.

Vectra pētnieki atklāja ievainojamību, palīdzot klientam, kurš mēģināja noņemt atspējotu kontu no Teams iestatīšanas. Microsoft pieprasa, lai lietotāji būtu pierakstījušies, lai atinstalētu, tāpēc Vectra izskatīja vietējā konta konfigurācijas datus. Viņi plānoja noņemt saites uz pieteicies kontu. Tā vietā, meklējot lietotājvārdu lietojumprogrammu failos, viņi atrada marķierus, kas nodrošina piekļuvi Skype un Outlook. Katrs atrastais marķieris bija aktīvs un varēja piešķirt piekļuvi, neaktivizējot divu faktoru verifikāciju.

Dodoties tālāk, viņi izveidoja eksperimentālu izmantošanu. Viņu versija lejupielādē SQLite programmu vietējā mapē, izmanto to, lai pārbaudītu Teams lietotnes lokālo krātuvi, lai atrastu autentifikācijas pilnvaru, un pēc tam nosūta lietotājam augstas prioritātes ziņojumu ar marķiera tekstu. Šīs izmantošanas iespējamās sekas, protams, ir vairāk nekā dažu lietotāju pikšķerēšana, izmantojot viņu pašu pilnvaras:

Ikviens, kurš instalē un izmanto Microsoft Teams klientu šajā stāvoklī, saglabā akreditācijas datus, kas nepieciešami, lai veiktu jebkuru darbību, kas iespējama, izmantojot Teams lietotāja interfeisu, pat ja Teams ir aizvērts. Tādējādi uzbrucēji var modificēt SharePoint failus, Outlook pastu un kalendārus, kā arī Teams tērzēšanas failus. Vēl bīstamāk ir tas, ka uzbrucēji var traucēt likumīgu saziņu organizācijā, selektīvi iznīcinot, izfiltrējot vai iesaistoties mērķtiecīgos pikšķerēšanas uzbrukumos. Šobrīd uzbrucēja iespējas pārvietoties jūsu uzņēmuma vidē nav ierobežotas.

Vectra atzīmē, ka navigācija, izmantojot lietotāju piekļuvi Teams, ir īpaši bagāts pikšķerēšanas uzbrukumu avots, jo uzbrucēji var uzdoties par izpilddirektoriem vai citiem vadītājiem un pieprasīt zemāka līmeņa darbinieku darbības un klikšķus. Šī ir stratēģija, kas pazīstama kā biznesa e-pasta kompromiss (BEC); par to varat lasīt Microsoft emuārā On the Issues .

Iepriekš tika konstatēts, ka elektronu lietojumprogrammās ir nopietnas drošības problēmas. 2019. gada prezentācija parādīja, kā pārlūkprogrammas ievainojamības var izmantot, lai ievadītu kodu Skype, Slack, WhatsApp un citās Electron lietotnēs. 2020. gadā WhatsApp Electron darbvirsmas lietojumprogrammā tika atklāta vēl viena ievainojamība, kas ļauj lokāli piekļūt failiem, izmantojot ziņojumos iegulto JavaScript.

Mēs esam sazinājušies ar Microsoft, lai saņemtu komentāru, un atjaunināsim šo ziņu, ja saņemsim atbildi.

Vectra iesaka izstrādātājiem, ja viņiem “ir jāizmanto Electron savai lietojumprogrammai”, droši uzglabāt OAuth pilnvaras, izmantojot tādus rīkus kā KeyTar. Vectra drošības arhitekts Konors Peoples pastāstīja Dark Reading, ka viņš uzskata, ka Microsoft attālinās no Electron un virzās uz progresīvām tīmekļa lietotnēm, kas nodrošinās labāku OS līmeņa drošību attiecībā uz sīkfailiem un krātuvi.