Клиент Microsoft Teams хранит токены аутентификации пользователя в незащищенном текстовом формате, что потенциально позволяет злоумышленникам с локальным доступом публиковать сообщения и перемещаться по организации даже при включенной двухфакторной аутентификации.
Vectra рекомендует избегать настольного клиента Microsoft, созданного с использованием платформы Electron, для создания приложений с использованием технологий браузера, пока Microsoft не исправит недостаток. Как ни парадоксально, использование веб-клиента Teams внутри браузера, такого как Microsoft Edge, более безопасно, утверждает Vectra. Сообщенная проблема затрагивает пользователей Windows, Mac и Linux.
Microsoft, со своей стороны, считает, что эксплойт Vectra «не соответствует нашей планке для немедленного обслуживания», поскольку в первую очередь для проникновения в сеть потребуются другие уязвимости. Представитель сказал Dark Reading , что компания «рассмотрит возможность решения (проблемы) в будущем выпуске продукта».
Исследователи Vectra обнаружили уязвимость, помогая клиенту, который пытался удалить отключенную учетную запись из своей настройки Teams. Microsoft требует, чтобы пользователи вошли в систему для удаления, поэтому Vectra изучила данные конфигурации локальной учетной записи. Они намеревались удалить ссылки на вошедший в систему аккаунт. Вместо этого, когда они искали имя пользователя в файлах приложений, они обнаружили токены, предоставляющие доступ к Skype и Outlook. Каждый найденный токен был активен и мог предоставлять доступ без запуска двухфакторной проверки.
Идя дальше, они создали экспериментальный эксплойт. Их версия загружает механизм SQLite в локальную папку, использует его для сканирования локального хранилища приложения Teams в поисках токена аутентификации, а затем отправляет пользователю высокоприоритетное сообщение с собственным текстом токена. Потенциальные последствия этого эксплойта, конечно, больше, чем фишинг некоторых пользователей с их собственными токенами:
Любой, кто устанавливает и использует клиент Microsoft Teams в этом состоянии, сохраняет учетные данные, необходимые для выполнения любых действий, возможных через пользовательский интерфейс Teams, даже когда Teams закрыт. Это позволяет злоумышленникам изменять файлы SharePoint, почту и календари Outlook, а также файлы чата Teams. Еще более опасным является то, что злоумышленники могут помешать законным коммуникациям внутри организации путем выборочного уничтожения, эксфильтрации или проведения целевых фишинговых атак. На данный момент возможности злоумышленника перемещаться в среде вашей компании не ограничены.
Vectra отмечает, что навигация через пользовательский доступ к Teams является особенно богатым источником для фишинговых атак, поскольку злоумышленники могут выдавать себя за генеральных директоров или других руководителей и запрашивать действия и клики от сотрудников более низкого уровня. Это стратегия, известная как компрометация деловой электронной почты (BEC); вы можете прочитать об этом в блоге Microsoft On the Issues .
Ранее было обнаружено, что приложения Electron содержат серьезные проблемы с безопасностью. Презентация 2019 года показала, как можно использовать уязвимости браузера для внедрения кода в Skype, Slack, WhatsApp и другие приложения Electron. В 2020 году в настольном приложении WhatsApp Electron была обнаружена еще одна уязвимость, позволяющая получить локальный доступ к файлам через встроенный в сообщения JavaScript.
Мы обратились в Microsoft за комментариями и обновим этот пост, если получим ответ.
Vectra рекомендует разработчикам, если им «нужно использовать Electron для своего приложения», безопасно хранить токены OAuth с помощью таких инструментов, как KeyTar. Коннор Пиплс, архитектор безопасности в Vectra, сказал Dark Reading, что, по его мнению, Microsoft отходит от Electron и переходит к Progressive Web Apps, которые обеспечат лучшую безопасность на уровне ОС в отношении файлов cookie и хранилища.