Microsoft Teams хранит токены аутентификации открытым текстом, которые не будут быстро исправлены

Клиент Microsoft Teams хранит токены аутентификации пользователей в незащищенном текстовом формате, что потенциально позволяет злоумышленникам с локальным доступом публиковать сообщения и перемещаться по организации даже при включенной двухфакторной аутентификации, по данным компании, занимающейся кибербезопасностью.

Vectra рекомендует избегать настольного клиента Microsoft, созданного с использованием платформы Electron для создания приложений с использованием технологий браузера, до тех пор, пока Microsoft не исправит недостаток. Использование веб-клиента Teams внутри браузера, такого как Microsoft Edge, как ни парадоксально, более безопасно, утверждает Vectra. Сообщенная проблема затрагивает пользователей Windows, Mac и Linux.

Microsoft, со своей стороны, считает, что эксплойт Vectra «не соответствует нашей планке для немедленного обслуживания», поскольку в первую очередь для проникновения в сеть потребуются другие уязвимости. Представитель сообщил Dark Reading, что компания «рассмотрит возможность решения (проблемы) в будущем выпуске продукта».

Исследователи Vectra  обнаружили уязвимость, помогая клиенту, который пытался удалить отключенную учетную запись из своей настройки Teams. Microsoft требует, чтобы пользователи вошли в систему для удаления, поэтому Vectra изучила данные конфигурации локальной учетной записи. Они намеревались удалить ссылки на вошедший в систему аккаунт. Вместо этого, выполнив поиск имени пользователя в файлах приложения, они обнаружили токены, предоставляющие доступ к Skype и Outlook. Каждый найденный токен был активен и мог предоставить доступ, не вызывая двухфакторную проверку.

Идя дальше, они создали экспериментальный эксплойт. Их версия загружает механизм SQLite в локальную папку, использует его для сканирования локального хранилища приложения Teams в поисках токена аутентификации, а затем отправляет пользователю высокоприоритетное сообщение с собственным текстом токена. Потенциальные последствия этого эксплойта, конечно, больше, чем фишинг некоторых пользователей с их собственными токенами:

Любой, кто устанавливает и использует клиент Microsoft Teams в этом состоянии, сохраняет учетные данные, необходимые для выполнения любых действий, возможных через пользовательский интерфейс Teams, даже когда Teams закрыт. Это позволяет злоумышленникам изменять файлы SharePoint, почту и календари Outlook, а также файлы чата Teams. Еще более опасным является то, что злоумышленники могут вмешиваться в законные коммуникации внутри организации, выборочно уничтожая, эксфильтрируя или участвуя в целенаправленных фишинговых атаках. На данный момент возможности злоумышленника перемещаться в среде вашей компании не ограничены.

Vectra отмечает, что перемещение через пользовательский доступ к Teams представляет собой особенно богатый источник для фишинговых атак, поскольку злоумышленники могут выдавать себя за генеральных директоров или других руководителей и добиваться действий и кликов от сотрудников более низкого уровня. Это стратегия, известная как компрометация деловой электронной почты (BEC); вы можете прочитать об этом в блоге Microsoft On the Issues.

Ранее было обнаружено, что приложения Electron содержат серьезные проблемы с безопасностью. Презентация 2019 года показала, как можно использовать уязвимости браузера для внедрения кода в Skype, Slack, WhatsApp и другие приложения Electron. В 2020 году в настольном приложении WhatsApp Electron была обнаружена еще одна уязвимость, обеспечивающая локальный доступ к файлам через JavaScript, встроенный в сообщения.

Мы обратились в Microsoft за комментариями и обновим этот пост, если получим ответ.

Vectra рекомендует разработчикам, если они «должны использовать Electron для своего приложения», безопасно хранить токены OAuth с помощью таких инструментов, как KeyTar. Коннор Пиплс, архитектор безопасности в Vectra, сказал Dark Reading, что, по его мнению, Microsoft отходит от Electron и переходит к Progressive Web Apps, которые обеспечат лучшую безопасность на уровне ОС в отношении файлов cookie и хранилища.