Microsoft Teams przechowuje tokeny uwierzytelniania w postaci zwykłego tekstu, który nie zostanie szybko poprawiony
Klient Microsoft Teams przechowuje tokeny uwierzytelniania użytkowników w niezabezpieczonym formacie tekstowym, potencjalnie umożliwiając atakującym z lokalnym dostępem do wysyłania wiadomości i poruszania się po organizacji nawet przy włączonym uwierzytelnianiu dwuskładnikowym, według firmy zajmującej się cyberbezpieczeństwem.
Vectra zaleca unikanie klienta komputerowego Microsoftu zbudowanego przy użyciu platformy Electron do budowania aplikacji przy użyciu technologii przeglądarkowych, dopóki Microsoft nie naprawi usterki. Vectra twierdzi, że korzystanie z klienta internetowego Teams w przeglądarce takiej jak Microsoft Edge jest paradoksalnie bezpieczniejsze. Zgłoszony problem dotyczy użytkowników systemów Windows, Mac i Linux.
Microsoft ze swojej strony uważa, że exploit Vectry „nie spełnia naszych wymagań dotyczących natychmiastowej obsługi”, ponieważ do infiltracji sieci potrzebne byłyby inne luki w zabezpieczeniach. Rzecznik powiedział Dark Reading , że firma „zastanowi się nad rozwiązaniem (problemu) w przyszłej wersji produktu”.
Badacze Vectry odkryli lukę, pomagając klientowi, który próbował usunąć wyłączone konto z konfiguracji Teams. Microsoft wymaga, aby użytkownicy byli zalogowani w celu odinstalowania, więc Vectra sprawdziła dane konfiguracji konta lokalnego. Zamierzali usunąć linki do zalogowanego konta. Zamiast tego, gdy sprawdzili nazwę użytkownika w plikach aplikacji, znaleźli tokeny, które zapewniają dostęp do Skype’a i Outlooka. Każdy znaleziony token był aktywny i mógł przyznać dostęp bez uruchamiania weryfikacji dwuskładnikowej.
Idąc dalej, stworzyli eksperymentalny exploit. Ich wersja pobiera silnik SQLite do folderu lokalnego, używa go do skanowania lokalnego magazynu aplikacji Teams w poszukiwaniu tokena uwierzytelniającego, a następnie wysyła do użytkownika wiadomość o wysokim priorytecie z własnym tekstem tokena. Potencjalne konsekwencje tego exploita to oczywiście coś więcej niż wyłudzanie informacji od niektórych użytkowników za pomocą ich własnych tokenów:
Każdy, kto instaluje i używa klienta Microsoft Teams w tym stanie, zachowuje poświadczenia wymagane do wykonywania wszelkich działań możliwych za pośrednictwem interfejsu użytkownika Teams, nawet gdy Teams jest zamknięty. Dzięki temu osoby atakujące mogą modyfikować pliki programu SharePoint, pocztę i kalendarze programu Outlook oraz pliki czatu aplikacji Teams. Jeszcze bardziej niebezpieczne jest to, że osoby atakujące mogą zakłócać legalną komunikację w organizacji poprzez selektywne niszczenie, eksfiltrację lub angażowanie się w ukierunkowane ataki phishingowe. W tej chwili zdolność atakującego do poruszania się w środowisku Twojej firmy nie jest ograniczona.
Vectra zauważa, że poruszanie się po dostępie użytkowników do Teams jest szczególnie bogatym źródłem ataków phishingowych, ponieważ osoby atakujące mogą udawać dyrektorów generalnych lub innych kierowników i zabiegać o działania i kliknięcia od pracowników niższego szczebla. Jest to strategia znana jako kompromitacja poczty biznesowej (BEC); można o tym przeczytać na blogu Microsoft On the Issues .
Wcześniej stwierdzono, że aplikacje elektronowe zawierają poważne problemy z bezpieczeństwem. Prezentacja z 2019 r. pokazała, w jaki sposób można wykorzystać luki w zabezpieczeniach przeglądarki do wstrzyknięcia kodu do aplikacji Skype, Slack, WhatsApp i innych aplikacji Electron. W 2020 roku wykryto kolejną lukę w aplikacji komputerowej WhatsApp Electron, umożliwiającą lokalny dostęp do plików poprzez JavaScript osadzony w wiadomościach.
Skontaktowaliśmy się z firmą Microsoft w celu uzyskania komentarza i zaktualizujemy ten post, jeśli otrzymamy odpowiedź.
Vectra zaleca, aby programiści, jeśli „muszą używać Electron do swoich aplikacji”, bezpiecznie przechowywali tokeny OAuth za pomocą narzędzi takich jak KeyTar. Connor Peoples, architekt bezpieczeństwa w Vectra, powiedział Dark Reading, że wierzy, że Microsoft odchodzi od Electron i zmierza w kierunku Progressive Web Apps, które zapewnią lepsze bezpieczeństwo na poziomie systemu operacyjnego w zakresie plików cookie i przechowywania.
Dodaj komentarz