Microsoft Teams 以明文形式存儲身份驗證令牌，無法快速修補

據網絡安全公司稱，Microsoft Teams 客戶端以不安全的文本格式存儲用戶身份驗證令牌，即使啟用了雙因素身份驗證，也可能允許具有本地訪問權限的攻擊者發布消息並在組織中移動。

Vectra 建議避免使用使用 Electron 平台構建的 Microsoft 桌面客戶端來使用瀏覽器技術構建應用程序，直到 Microsoft 修復該缺陷。Vectra 聲稱，矛盾的是，在 Microsoft Edge 等瀏覽器中使用 Teams Web 客戶端更加安全。報告的問題影響 Windows、Mac 和 Linux 用戶。

微軟則認為，Vectra 漏洞“不符合我們立即提供服務的標準”，因為首先需要其他漏洞來滲透網絡。一位發言人告訴 Dark Reading，該公司將“研究在未來的產品發布中解決（該問題）”。

Vectra 研究人員 在幫助試圖從 Teams 設置中刪除禁用帳戶的客戶時發現了該漏洞。Microsoft 要求用戶登錄才能卸載，因此 Vectra 查看了本地帳戶配置數據。他們打算刪除登錄帳戶的鏈接。相反，當他們在應用程序文件中查找用戶名時，他們發現了授予 Skype 和 Outlook 訪問權限的令牌。找到的每個令牌都是活動的，可以授予訪問權限而無需觸發兩因素驗證。

更進一步，他們創建了一個實驗性漏洞。他們的版本將 SQLite 引擎下載到本地文件夾，使用它掃描 Teams 應用程序的本地存儲以獲取身份驗證令牌，然後使用令牌自己的文本向用戶發送高優先級消息。當然，這種利用的潛在後果不僅僅是使用自己的令牌對某些用戶進行網絡釣魚：

在此狀態下安裝和使用 Microsoft Teams 客戶端的任何人都會保留通過 Teams 用戶界面執行任何可能操作所需的憑據，即使 Teams 已關閉也是如此。這允許攻擊者修改 SharePoint 文件、Outlook 郵件和日曆以及 Teams 聊天文件。更危險的是，攻擊者可以通過有選擇地破壞、滲透或參與有針對性的網絡釣魚攻擊來干擾組織內的合法通信。目前，攻擊者在您公司環境中移動的能力不受限制。

Vectra 指出，通過用戶訪問 Teams 進行導航是網絡釣魚攻擊的一個特別豐富的來源，因為攻擊者可以冒充首席執行官或其他高管，並徵求較低級別員工的操作和點擊。這是一種稱為商業電子郵件洩露 (BEC) 的策略；您可以在 Microsoft 博客 On the Issues 上閱讀相關內容。

此前發現 Electron 應用程序存在嚴重的安全問題。2019 年的演示展示瞭如何利用瀏覽器漏洞將代碼注入 Skype、Slack、WhatsApp 和其他 Electron 應用程序。2020 年，WhatsApp Electron 桌面應用程序中發現了另一個漏洞，允許通過消息中嵌入的 JavaScript 本地訪問文件。

我們已聯繫微軟徵求意見，如果得到回复，我們將更新這篇文章。

Vectra 建議開發人員，如果他們“需要在其應用程序中使用 Electron”，請使用 KeyTar 等工具安全地存儲 OAuth 令牌。Vectra 的安全架構師 Connor Peoples 告訴 Dark Reading，他相信微軟正在放棄 Electron，轉向漸進式 Web 應用程序，這將在 cookie 和存儲方面提供更好的操作系統級安全性。