Microsoft Teams menyimpan token pengesahan teks jelas, tidak akan ditambal dengan cepat

Besarkan / Menggunakan Pasukan dalam penyemak imbas sebenarnya lebih selamat daripada menggunakan apl desktop Microsoft, yang dililitkan pada penyemak imbas. Banyak yang perlu diselesaikan.

Pelanggan Pasukan Microsoft menyimpan token pengesahan pengguna dalam format teks yang tidak dilindungi, yang berpotensi membenarkan penyerang dengan akses tempatan untuk menyiarkan mesej dan bergerak ke sisi melalui organisasi, walaupun dengan pengesahan dua faktor didayakan, menurut sebuah syarikat keselamatan siber.

Vectra mengesyorkan untuk mengelakkan klien desktop Microsoft, yang dibina dengan rangka kerja Electron untuk mencipta aplikasi daripada teknologi penyemak imbas, sehingga Microsoft telah menambal kecacatan itu. Menggunakan klien Teams berasaskan web dalam penyemak imbas seperti Microsoft Edge adalah, secara paradoks, lebih selamat, dakwa Vectra. Isu yang dilaporkan memberi kesan kepada pengguna Windows, Mac dan Linux.

Microsoft, bagi pihaknya, percaya eksploitasi Vectra “tidak memenuhi syarat kami untuk servis segera” kerana ia memerlukan kelemahan lain untuk masuk ke dalam rangkaian pada mulanya. Seorang jurucakap memberitahu Dark Reading bahawa syarikat itu akan “mempertimbangkan untuk menangani (isu) dalam keluaran produk masa hadapan.”

Penyelidik di Vectra menemui kelemahan semasa membantu pelanggan yang cuba mengalih keluar akaun yang dilumpuhkan daripada persediaan Pasukan mereka. Microsoft memerlukan pengguna untuk dilog masuk untuk dialih keluar, jadi Vectra melihat ke dalam data konfigurasi akaun setempat. Mereka berhasrat untuk mengalih keluar rujukan kepada akaun yang dilog masuk. Apa yang mereka temui sebaliknya, dengan mencari nama pengguna dalam fail apl, adalah token, dalam jelas, menyediakan akses Skype dan Outlook. Setiap token yang mereka temui adalah aktif dan boleh memberikan akses tanpa mencetuskan cabaran dua faktor.

Melangkah lebih jauh, mereka mencipta eksploitasi bukti konsep. Versi mereka memuat turun enjin SQLite ke folder setempat, menggunakannya untuk mengimbas storan setempat apl Teams untuk token pengesahan, kemudian menghantar kepada pengguna mesej keutamaan tinggi dengan teks token mereka sendiri. Potensi akibat eksploitasi ini lebih besar daripada pancingan data sesetengah pengguna dengan token mereka sendiri, sudah tentu:

Sesiapa sahaja yang memasang dan menggunakan klien Microsoft Teams dalam keadaan ini sedang menyimpan bukti kelayakan yang diperlukan untuk melakukan sebarang tindakan yang mungkin melalui UI Teams, walaupun semasa Teams ditutup. Ini membolehkan penyerang mengubah suai fail SharePoint, mel dan kalendar Outlook dan fail sembang Pasukan. Lebih merosakkan lagi, penyerang boleh mengganggu komunikasi yang sah dalam organisasi dengan secara terpilih memusnahkan, mengekstrak atau terlibat dalam serangan pancingan data yang disasarkan. Tiada had untuk keupayaan penyerang untuk bergerak melalui persekitaran syarikat anda pada ketika ini.

Vectra menyatakan bahawa bergerak melalui akses Pasukan pengguna memberikan sumber yang kaya untuk serangan pancingan data, kerana pelakon yang berniat jahat boleh menyamar sebagai CEO atau eksekutif lain dan mendapatkan tindakan dan klik daripada pekerja peringkat rendah. Ia adalah strategi yang dikenali sebagai Kompromi E-mel Perniagaan (BEC); anda boleh membaca mengenainya di blog Microsoft On the Issues.

Apl elektron telah didapati mempunyai masalah keselamatan yang mendalam sebelum ini. Pembentangan 2019 menunjukkan bagaimana kelemahan penyemak imbas boleh digunakan menyuntik kod ke dalam Skype, Slack, WhatsApp dan aplikasi Electron lain. Aplikasi Electron desktop WhatsApp didapati mempunyai satu lagi kelemahan pada tahun 2020menyediakan akses fail tempatan melalui JavaScript yang dibenamkan ke dalam mesej.

Kami telah menghubungi Microsoft untuk mendapatkan ulasan dan akan mengemas kini siaran ini jika kami menerima respons.

Vectra mengesyorkan bahawa pembangun, jika mereka “mesti menggunakan Electron untuk aplikasi anda,” menyimpan token OAuth dengan selamat menggunakan alatan seperti KeyTar. Connor Peoples, arkitek keselamatan di Vectra, memberitahu Dark Reading bahawa dia percaya Microsoft beralih daripada Electron dan beralih ke Apl Web Progresif, yang akan menyediakan keselamatan peringkat OS yang lebih baik di sekitar kuki dan storan.

We would like to say thanks to the writer of this short article for this awesome content

Microsoft Teams menyimpan token pengesahan teks jelas, tidak akan ditambal dengan cepat


Our social media profiles here and other pages related to them here.https://paw6.info/related-pages/