Microsoft Teams lagrar autentiseringstoken i klartext, korrigeras inte snabbt

Microsoft Teams lagrar autentiseringstoken i klartext, korrigeras inte snabbt

Förstora / Att använda Teams i en webbläsare är faktiskt säkrare än att använda Microsofts skrivbordsappar, som är lindade runt en webbläsare. Det är mycket att jobba igenom.

Microsofts Teams-klient lagrar användarnas autentiseringstokens i ett oskyddat textformat, vilket potentiellt tillåter angripare med lokal åtkomst att posta meddelanden och röra sig i sidled genom en organisation, även med tvåfaktorsautentisering aktiverad, enligt ett cybersäkerhetsföretag.

Vectra rekommenderar att du undviker Microsofts skrivbordsklient, byggd med Electron-ramverket för att skapa appar från webbläsarteknik, tills Microsoft har åtgärdat felet. Att använda den webbaserade Teams-klienten i en webbläsare som Microsoft Edge är, något paradoxalt nog, säkrare, hävdar Vectra. Det rapporterade problemet påverkar Windows-, Mac- och Linux-användare.

Microsoft, å sin sida, anser att Vectras utnyttjande “inte uppfyller vårt krav på omedelbar service” eftersom det skulle kräva andra sårbarheter för att komma in i nätverket i första hand. En talesperson sa till Dark Reading att företaget kommer att “överväga att ta itu med (problemet) i en framtida produktrelease.”

Forskare på Vectra upptäckte sårbarheten när han hjälpte en kund som försökte ta bort ett inaktiverat konto från sin Teams-konfiguration. Microsoft kräver att användare är inloggade för att tas bort, så Vectra tittade på konfigurationsdata för lokalt konto. De satte sig för att ta bort referenser till det inloggade kontot. Det de hittade istället, genom att söka efter användarens namn i appens filer, var tokens, i det klara, vilket gav åtkomst till Skype och Outlook. Varje token de hittade var aktiv och kunde ge åtkomst utan att utlösa en tvåfaktorsutmaning.

Går de längre, skapade de en proof-of-concept-exploat. Deras version laddar ner en SQLite-motor till en lokal mapp, använder den för att skanna en Teams-apps lokala lagring efter en autentiseringstoken och skickar sedan användaren ett högprioriterat meddelande med sin egen tokentext. De potentiella konsekvenserna av detta utnyttjande är naturligtvis större än att nätfiska vissa användare med sina egna tokens:

Alla som installerar och använder Microsoft Teams-klienten i det här tillståndet lagrar de autentiseringsuppgifter som behövs för att utföra alla möjliga åtgärder via Teams UI, även när Teams stängs av. Detta gör det möjligt för angripare att ändra SharePoint-filer, Outlook-e-post och kalendrar och Teams-chattfiler. Ännu mer skadligt är att angripare kan manipulera legitim kommunikation inom en organisation genom att selektivt förstöra, exfiltrera eller delta i riktade nätfiskeattacker. Det finns ingen gräns för en angripares förmåga att röra sig genom ditt företags miljö just nu.

Vectra noterar att att flytta genom en användares Teams-åtkomst är en särskilt rik brunn för nätfiskeattacker, eftersom illvilliga aktörer kan posera som VD:ar eller andra chefer och söka åtgärder och klick från anställda på lägre nivå. Det är en strategi som kallas Business Email Compromise (BEC); du kan läsa om det på Microsofts On the Issues-blogg.

Elektronappar har tidigare visat sig ha djupa säkerhetsproblem. En presentation från 2019 visade hur webbläsarsårbarheter kunde användas till injicera kod i Skype, Slack, WhatsApp och andra Electron-appar. WhatsApps stationära Electron-app visade sig ha ytterligare en sårbarhet under 2020ger lokal filåtkomst genom JavaScript inbäddat i meddelanden.

Vi har kontaktat Microsoft för kommentarer och kommer att uppdatera det här inlägget om vi får svar.

Vectra rekommenderar att utvecklare, om de “måste använda Electron för din applikation”, säkert lagrar OAuth-tokens med hjälp av verktyg som KeyTar. Connor Peoples, säkerhetsarkitekt på Vectra, sa till Dark Reading att han tror att Microsoft går bort från Electron och går över till progressiva webbappar, vilket skulle ge bättre säkerhet på OS-nivå kring cookies och lagring.

#Microsoft #Teams #lagrar #autentiseringstoken #klartext #korrigeras #inte #snabbt

Leave a Comment

Your email address will not be published.