Клієнт Microsoft Teams зберігає коди автентифікації користувачів у незахищеному текстовому форматі, що може дозволити зловмисникам з локальним доступом поширювати повідомлення та переміщатися горизонтально по всій організації, навіть якщо ввімкнено двофакторну автентифікацію, повідомляє компанія з кібербезпеки.
Vectra рекомендує уникати настільного клієнта Microsoft, який побудований на основі Electron для створення програм із технологій браузера, доки Microsoft не виправить помилку. Вектра стверджує, що використання веб-клієнта Teams у такому браузері, як Microsoft Edge, певною мірою безпечніше. Повідомлена проблема стосується користувачів Windows, Mac і Linux.
Зі свого боку, Microsoft вважає, що експлойт Vectra «не відповідає нашим критеріям для онлайн-сервісів», тому що він потребує інших уразливостей, щоб потрапити в мережу. Сказав речник Dark Reading що компанія «розгляне вирішення (проблеми) у майбутньому випуску продукту».
Дослідники Vectra Виявіть уразливість, допомагаючи клієнту видалити вимкнений обліковий запис зі своїх налаштувань Teams. Для видалення корпорація Майкрософт вимагає від користувачів авторизації, тому Vectra переглянула конфігураційні дані локального облікового запису. Вони продовжили видалення посилань на обліковий запис, у який увійшли. Натомість, шукаючи ім’я користувача у файлах програми, вони знайшли очевидні значки, які надають доступ до Skype і Outlook. Кожен знайдений токен був активним і міг надати доступ без випробування двох факторів.
У майбутньому вони створили експлойт для підтвердження концепції. Їхня версія завантажує механізм SQLite у локальну папку, використовує його для сканування локального сховища Teams на наявність маркера авторизації, а потім надсилає користувачеві повідомлення високого пріоритету з текстом маркера. Потенційні наслідки цього експлойту, звичайно, більші, ніж фішинг деяких користувачів з їх особистими кодами:
Кожен, хто встановлює та використовує клієнт Microsoft Teams у цьому випадку, зберігає облікові дані, необхідні для виконання будь-яких можливих дій через інтерфейс користувача Teams, навіть якщо Teams вимкнено. Це дозволяє зловмисникам змінювати файли SharePoint, пошту Outlook, календарі та файли чату Teams. Ще більшу шкоду завдає те, що зловмисники можуть втручатися в законні комунікації всередині організації шляхом вибіркового знищення, контрабанди або участі в цілеспрямованих фішингових атаках. Наразі можливості зловмисника щодо навігації у вашому корпоративному середовищі не обмежені.
Vectra зазначає, що навігація через доступ користувачів до Teams є особливо великою перевагою для фішингових атак, коли зловмисники можуть видавати себе за генеральних директорів або інших керівників і вимагати дій і кліків від співробітників нижчого рівня. Це стратегія, відома як Business Email Compromise (BEC); Ви можете почитати про це У блозі Microsoft On the Issues.
Раніше було виявлено, що програми Electron мають серйозні проблеми з безпекою. Презентація 2019 року показала, як можна використовувати вразливості браузера Впровадження коду в Skype, Slack, WhatsApp та інші програми Electron. Настільний додаток WhatsApp Electron знайдено Ще одна лазівка у 2020 роціякий надає доступ до локальних файлів через JavaScript, вбудований у повідомлення.
Ми звернулися до корпорації Майкрософт для коментарів і оновимо цю публікацію, якщо отримаємо відповідь.
Vectra рекомендує розробникам, якщо вони «повинні використовувати Electron для своєї програми», безпечно зберігати маркери OAuth за допомогою таких інструментів, як KeyTar. Коннор Піплз, інженер із безпеки в Vectra, сказав Dark Reading, що, на його думку, Microsoft відходить від Electron і переходить до прогресивних веб-додатків, які забезпечать кращу безпеку на рівні ОС навколо файлів cookie та зберігання.
“Загальний ніндзя в соціальних мережах. Інтроверт. Творець. Шанувальник телебачення. Підприємець, що отримує нагороди. Веб-ботанік. Сертифікований читач”
