sebezhetőség Microsoft Teams – Auth Tokenek tiszta szövegben (2022)

Egy sebezhetőség Microsoft Teams amely a szolgáltatás minden olyan felhasználóját érinti, aki az alkalmazást használja Windows, Mac vagy Linux.

Microsoft Teams egy integrált csomagplatform Microsoft 365. A szolgáltatást világszerte közel 300 millió felhasználó használja videokonferenciákra, hanghívásokra, szöveges üzenetekre és tárolt/fájlmegosztásra. Feltételezhető, hogy különösen üzleti és irodai célokra használják Microsoft Teams mert Windows, Linux si Mac a jelenlegi időkre vonatkozó biztonsági szabványnak kell lennie. Úgy tűnik azonban, hogy a Microsoft számára a titkosítás kevéssé fontos.

2022 augusztusában egy biztonsági elemzőcsoport felfedezte a sebezhetőség Microsoft Teams aminek megoldása a Microsoftnak a mai napig nem volt bonyolult.

sebezhetőség Microsoft Teams – A titkosítatlan hitelesítési token

A felfedezett biztonsági probléma a hitelesítési tokenek titkosítatlan tárolása az alkalmazásban Microsoft Teams mert Windows, Mac si Linux. Pontosabban user authentication tokens bent tartják cleartext.

Ez azt jelenti, hogy ha a támadó hozzáfér egy számítógéphez, amelyre telepítve van Microsoft Teams, akkor ki tudja venni a hitelesítési adatokat az alkalmazásból, és csatlakozni tud majd az áldozat fiókjához. Ezenkívül a támadó biztosítja a hozzáférést Microsoft Graph API még akkor is, ha a fiók ezzel védett MFA (Multi-factor authentication). Nincs szükség speciális rosszindulatú programokra vagy különleges engedélyekre a hitelesítési tokeneket tartalmazó fájlok eléréséhez.

• Office 365 jelentkeznek Microsoft 365 a Microsoft Teammel
• Egy másik sebezhetőség felfedezett Java
• Új kritikus sebezhetőség az interneten Explorer veszélyezteti a rendszereket Windows
• Sérülékenység Windows OS (32bit), 17 éves
• Kritikus sebezhetőséget fedeztek fel a WooCommerce szolgáltatásban - online üzletek milliói sérülhetnek

Ez a sérülékenység (ha nevezhetem annak) sok céget érinthet szerte a világon. Tovább Microsoft Teams vannak üzleti beszélgetések, szervezeten belüli megbeszélések, csapatmunka, állásinterjúk és bizalmas adatok küldése.

A legaggasztóbb az, hogy ezt a problémát jelentette be Connor Peoples (kiberbiztonsági elemző) 2022 augusztusa óta, és eddig (2022. szeptember fele) a Microsoft nem tett semmit.

Amíg a Microsoft fel nem oldja ezt a biztonsági rést Microsoft Teams, a felhasználók megvédhetik magukat az alkalmazás webes verziójával.

2022-ben az érzékeny adatok tiszta szövegben való tárolása, még több hitelesítési token számomra úgy tűnik, hogy a Microsoft a 90-es évek technikáit használja. Yahoo! Messenger illessze be a helyi beszélgetéseket szöveges formátumban. A Microsoft valami extrával érkezik. Őrizze meg a hitelesítési adatokat.