Klient Microsoft Teams ukladá overovacie tokeny používateľov v nechránenom textovom formáte, čo potenciálne umožňuje útočníkom lokálny prístup posielať správy a pohybovať sa po organizácii, dokonca aj s povolenou dvojfaktorovou autentifikáciou, podľa kybernetickej bezpečnosti spoločnosti.
Vectra odporúča vyhnúť sa desktopovému klientovi od Microsoftu, ktorý je vytvorený s rámcom Electron na vytváranie aplikácií z technológií prehliadača, kým Microsoft chybu neopraví. Používanie webového klienta Teams v prehliadači, akým je Microsoft Edge, je, trochu paradoxne, bezpečnejšie, tvrdí Vectra. Nahlásený problém sa týka používateľov Windows, Mac a Linux.
Microsoft je presvedčený, že exploit Vectry „nespĺňa naše požiadavky na okamžitú opravu“, pretože by si v prvom rade vyžadoval iné zraniteľnosti, aby sa dostali do siete.
Hovorca povedal Dark Reading že spoločnosť "zváži riešenie (problému) v budúcom vydaní produktu."Výskumníci z Vectra objavil zraniteľnosť pri pomoci zákazníkovi, ktorý sa pokúšal odstrániť deaktivovaný účet z nastavenia aplikácie Teams. Spoločnosť Microsoft vyžaduje, aby boli používatelia prihlásení, aby sa odstránili, takže spoločnosť Vectra sa pozrela na konfiguračné údaje lokálneho účtu. Tí sa pustili do odstraňovania referencií na prihlásený účet. Namiesto toho našli pri hľadaní mena používateľa v súboroch aplikácie tokeny, ktoré poskytujú prístup k Skype a Outlook. Každý token, ktorý našli, bol aktívny a mohol poskytnúť prístup bez spustenia dvojfaktorovej výzvy.
Išli ďalej, vytvorili proof-of-concept exploit. Ich verzia stiahne nástroj SQLite do lokálneho priečinka, použije ho na skenovanie lokálneho úložiska aplikácie Teams na overenie tokenu a potom používateľovi odošle správu s vysokou prioritou s vlastným textom tokenu. Potenciálne dôsledky tohto zneužitia sú samozrejme väčšie ako phishing niektorých používateľov s ich vlastnými tokenmi:
Každý, kto si nainštaluje a používa klienta Microsoft Teams v tomto stave, ukladá poverenia potrebné na vykonanie akejkoľvek akcie, ktorá je možná prostredníctvom používateľského rozhrania Teams, aj keď je Teams vypnutý. To umožňuje útočníkom upravovať súbory SharePointu, poštu a kalendáre programu Outlook a súbory chatu v aplikácii Teams. Ešte škodlivejšie je, že útočníci môžu zasahovať do legitímnej komunikácie v rámci organizácie selektívnym ničením, exfiltrovaním alebo zapájaním sa do cielených phishingových útokov. Schopnosť útočníka pohybovať sa prostredím vašej spoločnosti nie je v tomto bode nijako obmedzená.
Vectra poznamenáva, že pohyb cez prístup používateľa do Teams predstavuje obzvlášť bohatý zdroj pre phishingové útoky, ako zlomyseľní aktéri sa môžu vydávať za generálnych riaditeľov alebo iných vedúcich pracovníkov a vyhľadávať akcie a kliknutia z nižšej úrovne zamestnancov. Je to stratégia známa ako Business Email Compromise (BEC); môžete si o tom prečítať na blogu spoločnosti Microsoft On the Issues.
Už predtým sa zistilo, že aplikácie Electron obsahujú hlboké bezpečnostné problémy. Prezentácia z roku 2019 ukázala, ako sa dajú využiť zraniteľnosti prehliadača vložiť kód do aplikácií Skype, Slack, WhatsApp a ďalších aplikácií Electron. Zistilo sa, že desktopová aplikácia Electron od WhatsApp ďalšia zraniteľnosť v roku 2020, ktorá poskytuje lokálny prístup k súborom prostredníctvom JavaScriptu vloženého do správ.
Požiadali sme spoločnosť Microsoft o komentár a ak dostaneme odpoveď, aktualizujeme tento príspevok.
Vectra odporúča, aby vývojári, ak „musia použiť Electron pre vašu aplikáciu“, bezpečne uložili tokeny OAuth pomocou nástrojov, ako je KeyTar. Connor Peoples, bezpečnostný architekt spoločnosti Vectra, povedal pre Dark Reading, že je presvedčený, že Microsoft sa od neho vzďaľuje Electron a posun smerom k progresívnym webovým aplikáciám, ktoré by poskytli lepšiu bezpečnosť na úrovni operačného systému okolo súborov cookie a skladovanie.
