Microsoft Teams slaat cleartext auth-tokens op, ze blijven niet snel plakken.

Het gebruik van Groepen in een browser is veiliger dan het gebruik van Microsoft-desktoptoepassingen.  Het is veel te doen.
Uitbreiden / Het gebruik van Groepen in een browser is veiliger dan het gebruik van Microsoft-desktoptoepassingen. Het is veel te doen.

Een Microsoft Teams-client slaat de authenticatietokens van gebruikers op in een onbeschermde tekstindeling, waardoor aanvallers berichten lokaal kunnen posten en deze via een organisatie kunnen omzeilen, aldus het cyberbeveiligingsbedrijf.

Vectra raadt aan om de Microsoft-desktopclient die is gebouwd met het Electron Framework te vermijden totdat Microsoft de fout heeft verholpen. Het gebruik van een webgebaseerde Teams-client in een browser als Microsoft Edge is, enigszins paradoxaal, volgens Vectra veiliger. Het gemelde probleem treft Windows-, Mac- en Linux-gebruikers.

Microsoft is van zijn kant van mening dat de Vectra-exploit “niet voldoet aan onze behoeften voor onmiddellijke service”, omdat er andere kwetsbaarheden nodig zijn om eerst het netwerk binnen te dringen. Een woordvoerder sprak met Dark Reading. Het bedrijf zei dat het “van plan was[het probleem]op te lossen in een toekomstige productrelease.”

Onderzoekers van Vectra Ze ontdekten het beveiligingslek terwijl ze een klant hielpen die probeerde een uitgeschakeld account uit hun groepsconfiguratie te verwijderen. Microsoft wil dat gebruikers worden verwijderd, dus Vectra kijkt naar lokale accountconfiguratiegegevens. Instellen om verwijzingen naar het ingelogde account te verwijderen. In plaats daarvan verlenen de tokens, door te zoeken naar de gebruikersnaam in de applicatiebestanden, blijkbaar toegang tot Skype en Outlook. Elk token dat ze vonden, was actief en kon toegang krijgen zonder een test in twee stappen te starten.

Vooruit, ze creëerden een proof of concept. Hun versie downloadt de SQLite-engine naar een lokale map, gebruikt deze om de lokale opslag van de teamtoepassing te scannen op het auth-token en stuurt vervolgens een bericht met hoge prioriteit naar de gebruiker met hun eigen tokentekst. De mogelijke gevolgen van deze exploit gaan natuurlijk veel verder dan alleen phishing van sommige gebruikers met hun eigen tokens:

Iedereen die de Microsoft Teams-client in deze staat installeert en gebruikt, slaat de inloggegevens op die nodig zijn om elke taak uit te voeren via de gebruikersinterface van Teams, zelfs als Teams is gesloten. Hierdoor kunnen aanvallers SharePoint-bestanden, Outlook-e-mail en -agenda’s en groepschatbestanden wijzigen. Nog schadelijker is dat aanvallers legitieme communicatie binnen een organisatie kunnen compromitteren door selectief gerichte phishing-aanvallen te vernietigen, te promoten of eraan deel te nemen. Op dit moment is het vermogen van een aanvaller om door de omgeving van uw organisatie te bewegen onbeperkt.

Vectra merkt op dat het doorlopen van toegang tot gebruikersgroepen bijzonder rijk is voor phishing-aanvallen, aangezien kwaadwillende actoren zich voordoen als CEO’s of andere leidinggevenden en acties en klikken van lage werknemers zoeken. Het is een strategie die bekend staat als Business Email Agreement (BEC); Je kunt erover lezen Op de Microsoft Affairs-blog.

Er zijn in het verleden vastgesteld dat Electron-apps ernstige beveiligingsproblemen hebben. Een presentatie uit 2019 liet zien hoe kwetsbaarheden in de browser kunnen worden misbruikt. Voer code in Skype, Slack, WhatsApp en andere elektronische toepassingen in. Het blijkt dat er een WhatsApp Desktop Electron-applicatie is Nog een kwetsbaarheid in 2020Lokale bestandstoegang bieden via JavaScript dat is ingesloten in berichten.

We hebben contact opgenomen met Microsoft voor commentaar en zullen dit bericht bijwerken als we iets horen.

Vectra raadt ontwikkelaars aan “Electron voor uw toepassing te gebruiken” om OAuth-tokens veilig op te slaan in tools zoals Keytar. Vectra-beveiligingsingenieur Connor Peoples vertelde Dark Reading dat Microsoft overstapt van Electron naar Progressive Web Apps, dat betere beveiliging op OS-niveau biedt rond cookies en opslag.

Leave a Reply

Your email address will not be published. Required fields are marked *