wrażliwość Microsoft Teams – Tokeny Auth w postaci zwykłego tekstu (2022)

Luka Microsoft Teams co dotyczy wszystkich użytkowników serwisu, którzy korzystają z aplikacji na Windows, Mac lub Linux.

Microsoft Teams to zintegrowana platforma pakietowa Microsoft 365. Usługa jest używana na całym świecie przez prawie 300 milionów użytkowników do wideokonferencji, połączeń głosowych, wiadomości tekstowych i udostępniania przechowywanych/plików. Ma służyć przede wszystkim do biznesu i biura Microsoft Teams dla Windows, Linux si Mac powinien posiadać normę bezpieczeństwa stosowną do obecnych czasów. Wydaje się jednak, że dla Microsoftu szyfrowanie ma niewielkie znaczenie.


W sierpniu (2022 r.) zespół analityków ds. bezpieczeństwa odkrył wrażliwość Microsoft Teams które najwyraźniej Microsoft do tej pory nie skomplikował się do rozwiązania.

wrażliwość Microsoft Teams – Nieszyfrowany token uwierzytelniający

Wykryty problem bezpieczeństwa polega na niezaszyfrowanym przechowywaniu tokenów uwierzytelniających w aplikacji Microsoft Teams dla Windows, Mac si Linux. Dokładniej user authentication tokens są trzymane w cleartext.

wrażliwość Microsoft Teams - Tokeny uwierzytelniania w postaci zwykłego tekstu (2022)
wrażliwość Microsoft Teams

Oznacza to, że jeśli atakujący ma dostęp do komputera, na którym jest zainstalowany Microsoft Teams, będzie mógł pobrać dane uwierzytelniające z aplikacji i połączyć się z kontem ofiary. Ponadto atakujący zabezpiecza dostęp do: Microsoft Graph API nawet jeśli konto jest chronione MFA (Multi-factor authentication). Aby uzyskać dostęp do plików zawierających tokeny uwierzytelniające, nie są potrzebne żadne zaawansowane złośliwe oprogramowanie ani specjalne uprawnienia.

Ta luka (jeśli mogę ją tak nazwać) może dotknąć wiele firm na całym świecie. Na Microsoft Teams odbywają się rozmowy biznesowe, spotkania wewnątrz organizacji, sesje pracy zespołowej, odbywają się rozmowy kwalifikacyjne i przesyłane są poufne dane.

Najbardziej niepokojące jest to, że problem ten został zgłoszony przez Ludy Connora (analityk cyberbezpieczeństwa) od sierpnia 2022 r. i do tej pory (połowa września 2022 r.) Microsoft nie podjął żadnych działań.

Dopóki Microsoft nie rozwiąże tej luki Microsoft Teams, użytkownicy mogą się chronić, korzystając z internetowej wersji aplikacji.

W 2022 roku, przechowując wrażliwe dane w postaci zwykłego tekstu, jeszcze więcej tokenów uwierzytelniających, wydaje mi się, że Microsoft korzysta z technik z lat 90., kiedy Yahoo! Messenger wklej rozmowy lokalne w formacie tekstowym. Microsoft ma coś ekstra. Zachowaj dane uwierzytelniające.

Pasjonat technologii, z przyjemnością piszę na StealthSettings.com od 2006 roku. Mam bogate doświadczenie w systemach operacyjnych: macOS, Windows i Linux, a także w językach programowania oraz platformach blogowych (WordPress) i dla sklepów internetowych (WooCommerce, Magento, PrestaShop).

jak » Antywirus i bezpieczeństwo » wrażliwość Microsoft Teams – Tokeny Auth w postaci zwykłego tekstu (2022)
Zostaw komentarz