sebezhetőség Microsoft Teams – Auth Tokenek tiszta szövegben (2022)

Egy sebezhetőség Microsoft Teams amely a szolgáltatás minden olyan felhasználóját érinti, aki az alkalmazást használja Windows, Mac vagy Linux.

Microsoft Teams egy integrált csomagplatform Microsoft 365. A szolgáltatást világszerte közel 300 millió felhasználó használja videokonferenciákra, hanghívásokra, szöveges üzenetekre és tárolt/fájlmegosztásra. Kifejezetten üzleti és office köteles vmit tenni Microsoft Teams mert Windows, Linux si Mac a jelenlegi időkre vonatkozó biztonsági szabványnak kell lennie. Úgy tűnik azonban, hogy a Microsoft számára a titkosítás kevéssé fontos.


2022 augusztusában egy biztonsági elemzőcsoport felfedezte a sebezhetőség Microsoft Teams aminek megoldása a Microsoftnak a mai napig nem volt bonyolult.

sebezhetőség Microsoft Teams – A titkosítatlan hitelesítési token

A felfedezett biztonsági probléma a hitelesítési tokenek titkosítatlan tárolása az alkalmazásban Microsoft Teams mert Windows, Mac si Linux. Pontosabban user authentication tokens bent tartják cleartext.

sebezhetőség Microsoft Teams - Auth tokenek tiszta szövegben (2022)
sebezhetőség Microsoft Teams

Ez azt jelenti, hogy ha a támadó hozzáfér egy számítógéphez, amelyre telepítve van Microsoft Teams, akkor ki tudja venni a hitelesítési adatokat az alkalmazásból, és csatlakozni tud majd az áldozat fiókjához. Ezenkívül a támadó biztosítja a hozzáférést Microsoft Graph API még akkor is, ha a fiók ezzel védett MFA (Multi-factor authentication). Nincs szükség speciális rosszindulatú programokra vagy különleges engedélyekre a hitelesítési tokeneket tartalmazó fájlok eléréséhez.

Ez a sérülékenység (ha nevezhetem annak) sok céget érinthet szerte a világon. Tovább Microsoft Teams vannak üzleti beszélgetések, szervezeten belüli megbeszélések, csapatmunka, állásinterjúk és bizalmas adatok küldése.

A legaggasztóbb az, hogy ezt a problémát jelentette be Connor Peoples (kiberbiztonsági elemző) 2022 augusztusa óta, és eddig (2022. szeptember fele) a Microsoft nem tett semmit.

Amíg a Microsoft fel nem oldja ezt a biztonsági rést Microsoft Teams, a felhasználók megvédhetik magukat az alkalmazás webes verziójával.

2022-ben az érzékeny adatok tiszta szövegben való tárolása, még több hitelesítési token számomra úgy tűnik, hogy a Microsoft a 90-es évek technikáit használja. Yahoo! Messenger illessze be a helyi beszélgetéseket szöveges formátumban. A Microsoft valami extrával érkezik. Őrizze meg a hitelesítési adatokat.

Hogyan » Antivírus és biztonság » sebezhetőség Microsoft Teams – Auth Tokenek tiszta szövegben (2022)

Szenvedélyes a technológiával kapcsolatban, szeretek tesztelni és oktatóanyagokat írni az operációs rendszerekről macOS, Linux, Windows, ról ről WordPress, WooCommerce és LEMP webszerverek konfigurálása (Linux, NGINX, MySQL és PHP). írok tovább StealthSettingsA .com 2006 óta, és néhány évvel később elkezdtem írni az iHowTo.Tips oktatóanyagokat és az ökoszisztéma eszközeiről szóló híreket Apple: iPhone, iPad, Apple Nézd, HomePod, iMac, MacBook, AirPod-ok és kiegészítők.

Írj hozzászólást