Υπάρχει ένα ελάττωμα ασφαλείας στο Microsoft Teams που επιτρέπει στους απειλητικούς παράγοντες να συνδέονται σε λογαριασμούς άλλων ατόμων, ακόμη και αν αυτοί οι λογαριασμοί προστατεύονται με έλεγχο ταυτότητας πολλαπλών παραγόντων, ισχυρίστηκαν οι ερευνητές.
Δείτε επίσης: Επίθεση GIFShell μολύνει το Microsoft Teams με χρήση GIFs
Οι αναλυτές κυβερνοασφάλειας από την Vectra λένε ότι το Teams desktop application για Windows, Linux και Mac, αποθηκεύει user authentication tokens σε καθαρό κείμενο, χωρίς κανένα κλείδωμα να προστατεύει την πρόσβαση. Οποιοσδήποτε έχει τοπική πρόσβαση σε ένα σύστημα με εγκατεστημένο το Teams μπορεί να κλέψει αυτά τα tokens και να τα χρησιμοποιήσει για να συνδεθεί στους λογαριασμούς.
Δείτε επίσης: Microsoft Teams: Πλήρως βελτιστοποιημένο για Mac με τσιπ M1 ή M2
“Αυτή η επίθεση δεν απαιτεί ειδικές άδειες ή προηγμένο malware”, δήλωσε ο Connor Peoples της Vectra – η Microsoft, από την άλλη πλευρά, λέει ότι αυτή τη στιγμή δεν ενδιαφέρεται να αντιμετωπίσει το ζήτημα.
Ενεργά tokens
Το πρόβλημα έγκειται στο γεγονός ότι το Microsoft Teams είναι μια εφαρμογή Electron, που εκτελείται σε παράθυρα προγράμματος περιήγησης. Καθώς το Electron δεν διαθέτει υποστήριξη για κρυπτογράφηση ή προστατευμένα file locations από προεπιλογή, είναι κάπως πιο εύκολο στη χρήση, αλλά και επικίνδυνο από την πλευρά της προστασίας δεδομένων. Η βαθύτερη ανάλυση αποκάλυψε ότι τα tokens δεν αποθηκεύτηκαν κατά λάθος ή ως μέρος ενός προηγούμενου data dump.
“Κατά την εξέταση, διαπιστώθηκε ότι αυτά τα access tokens ήταν ενεργά και όχι ένα τυχαίο dump ενός προηγούμενου σφάλματος. Αυτά τα access tokens μας έδωσαν πρόσβαση στα API του Outlook και του Skype“, εξήγησε η Vectra. Επιπλέον, ο φάκελος “cookies” περιείχε και tokens, πληροφορίες λογαριασμού, session data και άλλες πολύτιμες πληροφορίες.
Αλλά η Microsoft υποβάθμισε το όλο θέμα, λέγοντας ότι δεν είναι τόσο σοβαρό και ότι δεν πληροί τα κριτήρια για επιδιόρθωση.
Σε μια δήλωση που εστάλη στο BleepingComputer, η Microsoft είπε: «Η τεχνική που περιγράφεται δεν ανταποκρίνεται στη γραμμή μας για άμεση εξυπηρέτηση, καθώς απαιτεί από έναν εισβολέα να αποκτήσει πρώτα πρόσβαση σε ένα δίκτυο-στόχο. Εκτιμούμε τη συνεργασία της Vectra Protect στον εντοπισμό και την υπεύθυνη αποκάλυψη αυτού του ζητήματος και θα εξετάσουμε το ενδεχόμενο αντιμετώπισης σε μελλοντική κυκλοφορία προϊόντος.»
Η Vectra, από την άλλη πλευρά, διαφωνεί και για να αποδείξει την άποψή της, ανέπτυξε ένα exploit που καταχράται ένα API call, επιτρέποντας σε έναν χρήστη να στέλνει μηνύματα στον εαυτό του. Διαβάζοντας το cookies database μέσω του SQLite engine, το exploit μπόρεσε να λάβει τα authentication tokens σε ένα μήνυμα.
Δείτε επίσης: Το Microsoft Teams για web μόλις απέκτησε νέες δυνατότητες
Αν ανησυχείτε μήπως “κλέψουν” τα tokens της επιχείρησής σας, θα πρέπει να μεταβείτε στην έκδοση προγράμματος περιήγησης του client Teams, προτείνει η Vectra. Οι χρήστες Linux θα πρέπει επίσης να μετεγκατασταθούν σε διαφορετική πλατφόρμα συνεργασίας.
Πηγή πληροφοριών: techradar.com
