Der Teams-Client von Microsoft speichert die Authentifizierungscodes der Benutzer in einem ungeschützten Textformat, was es Angreifern mit lokalem Zugriff ermöglichen könnte, Nachrichten zu verbreiten und sich horizontal durch die Organisation zu bewegen, selbst wenn die Zwei-Faktor-Authentifizierung aktiviert ist, so die Cybersicherheitsfirma.
Vectra empfiehlt, den Desktop-Client von Microsoft, der mit dem Electron-Framework zum Erstellen von Anwendungen aus Browsertechnologien erstellt wurde, zu meiden, bis Microsoft den Fehler behoben hat. Die Verwendung des webbasierten Teams-Clients in einem Browser wie Microsoft Edge ist bis zu einem gewissen Grad sicherer, behauptet Vectra. Das gemeldete Problem betrifft Windows-, Mac- und Linux-Benutzer.
Microsoft ist seinerseits der Ansicht, dass der Vectra-Exploit „unsere Kriterien für Online-Dienste nicht erfüllt“, weil er andere Schwachstellen erfordern würde, um überhaupt in das Netzwerk zu gelangen. Ein Sprecher von Dark Reading sagte dass das Unternehmen „erwägen wird, (das Problem) in einer zukünftigen Produktversion anzugehen“.
Forscher bei Vectra Entdecken Sie die Schwachstelle, während Sie einem Kunden helfen, ein deaktiviertes Konto aus seinem Team-Setup zu entfernen. Microsoft verlangt, dass sich Benutzer anmelden, um entfernt zu werden, also hat Vectra die Konfigurationsdaten des lokalen Kontos untersucht. Sie fuhren fort, Verweise auf das eingeloggte Konto zu entfernen. Was sie stattdessen fanden, indem sie den Benutzernamen in den Dateien der App durchsuchten, waren offensichtliche Symbole, die den Zugriff auf Skype und Outlook ermöglichten. Jeder gefundene Token war aktiv und konnte Zugriff gewähren, ohne zwei Faktoren in Frage zu stellen.
In Zukunft erstellten sie einen Proof-of-Concept-Exploit. Ihre Version lädt die SQLite-Engine in einen lokalen Ordner herunter, scannt damit den lokalen Speicher von Teams nach dem Authentifizierungstoken und sendet dem Benutzer dann eine Nachricht mit hoher Priorität mit seinem Tokentext. Die potenziellen Folgen dieses Exploits sind natürlich größer als das Phishing einiger Benutzer mit ihren privaten Codes:
Jeder, der den Microsoft Teams-Client installiert und verwendet, speichert in diesem Fall die erforderlichen Anmeldeinformationen, um alle Aktionen auszuführen, die über die Benutzeroberfläche von Teams möglich sind, auch wenn Teams deaktiviert ist. Auf diese Weise können Angreifer SharePoint-Dateien, Outlook-E-Mails, Kalender und Teams-Chatdateien ändern. Noch schädlicher ist, dass Angreifer die legitime Kommunikation innerhalb einer Organisation manipulieren können, indem sie gezielte Phishing-Angriffe zerstören, einschmuggeln oder durchführen. Die Möglichkeiten eines Angreifers, durch Ihre Unternehmensumgebung zu navigieren, sind an dieser Stelle unbegrenzt.
Vectra stellt fest, dass das Navigieren durch den Benutzerzugriff auf Teams ein besonders großer Vorteil für Phishing-Angriffe ist, bei denen böswillige Akteure sich als CEOs oder andere CEOs ausgeben und Aktionen und Klicks von untergeordneten Mitarbeitern verlangen können. Es ist eine Strategie, die als Business Email Compromise (BEC) bekannt ist; Sie können darüber lesen Im Microsoft-Blog On the Issues.
Es wurde schon früher festgestellt, dass Electron-Anwendungen tiefe Sicherheitsprobleme aufweisen. Die Präsentation 2019 zeigte, wie Browser-Schwachstellen ausgenutzt werden können Code-Injektion in Skype, Slack, WhatsApp und andere Electron-Apps. Die Desktop-WhatsApp-Anwendung Electron wurde gefunden Ein weiterer Schwachpunkt in 2020das den Zugriff auf lokale Dateien über in Nachrichten eingebettetes JavaScript ermöglicht.
Wir haben Microsoft um einen Kommentar gebeten und werden diesen Beitrag aktualisieren, wenn wir eine Antwort erhalten.
Vectra empfiehlt Entwicklern, wenn sie „Electron für Ihre App verwenden müssen“, OAuth-Token sicher mit Tools wie KeyTar zu speichern. Connor Peoples, ein Sicherheitsingenieur bei Vectra, sagte gegenüber Dark Reading, dass er glaubt, dass Microsoft sich von Electron wegbewegt und sich progressiven Webanwendungen zuwendet, die eine bessere Sicherheit auf Betriebssystemebene in Bezug auf Cookies und Speicherung bieten.