O Microsoft Teams armazena tokens de autenticação em texto não criptografado que não será corrigido rapidamente

O Microsoft Teams armazena tokens de autenticação em texto não criptografado que não será corrigido rapidamente

O cliente Microsoft Teams armazena tokens de autenticação do usuário em um formato de texto não seguro, permitindo potencialmente que invasores com acesso local postem mensagens e se movam pela organização, mesmo com a autenticação de dois fatores habilitada, de acordo com a empresa de segurança cibernética.

A Vectra recomenda evitar o cliente de desktop da Microsoft criado usando a plataforma Electron para criar aplicativos usando tecnologias de navegador até que a Microsoft corrija a falha. Usar o cliente da Web do Teams dentro de um navegador como o Microsoft Edge é, paradoxalmente, mais seguro, afirma a Vectra. O problema relatado afeta usuários de Windows, Mac e Linux.

A Microsoft, por sua vez, acredita que a exploração do Vectra “não atende ao nosso padrão de serviço imediato”, já que outras vulnerabilidades seriam necessárias para se infiltrar na rede em primeiro lugar. Um porta-voz disse à Dark Reading que a empresa “tentaria resolver (o problema) em um futuro lançamento de produto”.

Os pesquisadores do Vectra descobriram a vulnerabilidade ao ajudar um cliente que estava tentando remover uma conta desativada da configuração do Teams. A Microsoft exige que os usuários façam login para desinstalar, então o Vectra examinou os dados de configuração da conta local. Eles pretendiam remover links para a conta conectada. Em vez disso, quando procuraram o nome de usuário nos arquivos do aplicativo, encontraram tokens que concedem acesso ao Skype e ao Outlook. Cada token encontrado estava ativo e podia conceder acesso sem acionar a verificação de dois fatores.

Indo além, eles criaram um exploit experimental. A versão deles baixa o mecanismo SQLite para uma pasta local, usa-o para verificar o armazenamento local do aplicativo Teams em busca de um token de autenticação e, em seguida, envia uma mensagem de alta prioridade ao usuário com o próprio texto do token. As possíveis consequências dessa exploração são, obviamente, mais do que phishing de alguns usuários com seus próprios tokens:

Qualquer pessoa que instalar e usar o cliente Microsoft Teams nesse estado reterá as credenciais necessárias para executar qualquer ação possível por meio da interface do usuário do Teams, mesmo quando o Teams estiver fechado. Isso permite que os invasores modifiquem arquivos do SharePoint, emails e calendários do Outlook e arquivos de bate-papo do Teams. Ainda mais perigoso é que os invasores podem interferir nas comunicações legítimas dentro de uma organização, destruindo seletivamente, exfiltrando ou realizando ataques de phishing direcionados. No momento, a capacidade de um invasor se movimentar no ambiente de sua empresa não é limitada.

A Vectra observa que navegar pelo acesso do usuário ao Teams é uma fonte particularmente rica para ataques de phishing, pois os invasores podem se passar por CEOs ou outros executivos e solicitar ações e cliques de funcionários de nível inferior. Essa é uma estratégia conhecida como comprometimento de e-mail comercial (BEC); você pode ler sobre isso no blog da Microsoft On the Issues .

Anteriormente, descobriu-se que aplicativos eletrônicos continham sérios problemas de segurança. Uma apresentação de 2019 mostrou como as vulnerabilidades do navegador podem ser exploradas para injetar código no Skype, Slack, WhatsApp e outros aplicativos Electron. Em 2020, outra vulnerabilidade foi descoberta no aplicativo de desktop WhatsApp Electron, permitindo acesso local a arquivos por meio de JavaScript embutido em mensagens.

Entramos em contato com a Microsoft para comentar e atualizaremos esta postagem se recebermos uma resposta.

A Vectra recomenda que os desenvolvedores, se “precisarem usar o Electron para seu aplicativo”, armazenem tokens OAuth com segurança usando ferramentas como o KeyTar. Connor Peoples, arquiteto de segurança da Vectra, disse a Dark Reading que acredita que a Microsoft está se afastando do Electron e avançando em direção aos Progressive Web Apps, que fornecerão melhor segurança no nível do sistema operacional em relação a cookies e armazenamento.

News
admin

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Tela e vidro traseiro do iPhone 14 muito mais fáceis de consertar
Discord imita Reddit com novo recurso de fórum
Corrigido: o Microsoft Teams não abre

Corrigido: o Microsoft Teams não abre

  • 01 Abr 2023
  • 138
A nova versão do Microsoft Teams é mais rápida e requer menos memória.

A nova versão do Microsoft Teams é mais rápida e requer menos memória.

  • 28 Mar 2023
  • 157
Como corrigir o erro CAA20003 ou CAA2000C do Microsoft Teams

Como corrigir o erro CAA20003 ou CAA2000C do Microsoft Teams

  • 23 Mar 2023
  • 276