Microsoft Teams зберігає маркери автентифікації у відкритому тексті, який не можна швидко виправити
Клієнт Microsoft Teams зберігає маркери автентифікації користувачів у незахищеному текстовому форматі, потенційно дозволяючи зловмисникам із локальним доступом публікувати повідомлення та переміщатися по організації навіть із увімкненою двофакторною автентифікацією, повідомляє компанія з кібербезпеки.
Vectra рекомендує уникати настільного клієнта Microsoft, створеного на платформі Electron для створення додатків із використанням технологій браузера, доки Microsoft не виправить недолік. Вектра стверджує, що використання веб-клієнта Teams у браузері на зразок Microsoft Edge, як це не парадоксально, безпечніше. Повідомлена проблема стосується користувачів Windows, Mac і Linux.
Microsoft, зі свого боку, вважає, що експлойт Vectra «не відповідає нашим вимогам щодо негайного обслуговування», оскільки для проникнення в мережу в першу чергу знадобляться інші вразливості. Прес-секретар сказав Dark Reading , що компанія «вирішить (проблему) у майбутньому випуску продукту».
Дослідники Vectra виявили вразливість, допомагаючи клієнту, який намагався видалити вимкнений обліковий запис зі своїх налаштувань Teams. Корпорація Майкрософт вимагає від користувачів увійти в обліковий запис для видалення, тому Vectra переглянула дані конфігурації локального облікового запису. Вони мали намір видалити посилання на обліковий запис, у який ви ввійшли. Натомість, коли вони шукали ім’я користувача у файлах програми, вони знайшли маркери, які надають доступ до Skype і Outlook. Кожен знайдений токен був активним і міг надати доступ без запуску двофакторної перевірки.
Пішовши далі, вони створили експериментальний експлойт. Їхня версія завантажує механізм SQLite у локальну папку, використовує його для сканування локального сховища програми Teams на наявність маркера автентифікації, а потім надсилає користувачеві повідомлення високого пріоритету з власним текстом маркера. Потенційні наслідки цього експлойту, звичайно, полягають у більшому, ніж фішинг деяких користувачів за допомогою їхніх власних маркерів:
Кожен, хто інсталює та використовує клієнт Microsoft Teams у цьому стані, зберігає облікові дані, необхідні для виконання будь-яких дій, можливих через інтерфейс користувача Teams, навіть якщо Teams закрито. Це дозволяє зловмисникам змінювати файли SharePoint, пошту й календарі Outlook, а також файли чату Teams. Ще більш небезпечним є те, що зловмисники можуть втручатися в законні комунікації всередині організації, вибірково знищуючи, викрадаючи або беручи участь у цілеспрямованих фішингових атаках. На даний момент здатність зловмисника пересуватися в середовищі вашої компанії не обмежена.
Vectra зазначає, що навігація через доступ користувачів до Teams є особливо багатим джерелом для фішингових атак, оскільки зловмисники можуть видаватися за генеральних директорів або інших керівників і вимагати дій і кліків від співробітників нижчого рівня. Це стратегія, відома як компроміс бізнес-електронної пошти (BEC); ви можете прочитати про це в блозі Microsoft On the Issues .
Раніше було виявлено, що програми Electron містять серйозні проблеми з безпекою. Презентація 2019 року показала, як уразливості браузера можна використати для впровадження коду в Skype, Slack, WhatsApp та інші програми Electron. У 2020 році в настільному додатку WhatsApp Electron було виявлено ще одну вразливість, яка дозволяла локальний доступ до файлів через JavaScript, вбудований у повідомлення.
Ми звернулися до корпорації Майкрософт для коментарів і оновимо цю публікацію, якщо отримаємо відповідь.
Vectra рекомендує розробникам, якщо їм «потрібно використовувати Electron для своїх програм», безпечно зберігати маркери OAuth за допомогою таких інструментів, як KeyTar. Коннор Піплз, архітектор безпеки в Vectra, сказав Dark Reading, що, на його думку, Microsoft відходить від Electron і переходить до прогресивних веб-додатків, які забезпечать кращу безпеку на рівні ОС щодо файлів cookie та зберігання.
Залишити відповідь