Microsoft Teams menyimpan kode autentikasi teks yang jelas, dan kode tersebut tidak akan di-debug dengan cepat

Klien Microsoft’s Teams menyimpan kode otentikasi pengguna dalam format teks yang tidak dilindungi, yang memungkinkan penyerang dengan akses lokal untuk menyebarkan pesan dan bergerak secara horizontal di seluruh organisasi, bahkan dengan otentikasi dua faktor diaktifkan, menurut perusahaan keamanan siber.

Vectra merekomendasikan untuk menghindari klien desktop Microsoft, yang dibangun dengan kerangka kerja Electron untuk membuat aplikasi dari teknologi browser, hingga Microsoft memperbaiki bug tersebut. Menggunakan klien Teams berbasis web dalam browser seperti Microsoft Edge, sampai batas tertentu, lebih aman, klaim Vectra. Masalah yang dilaporkan memengaruhi pengguna Windows, Mac, dan Linux.

Untuk bagiannya, Microsoft percaya bahwa eksploitasi Vectra “tidak memenuhi kriteria kami untuk layanan online” karena akan membutuhkan kerentanan lain untuk masuk ke dalam jaringan. Seorang juru bicara untuk Dark Reading mengatakan bahwa perusahaan “akan mempertimbangkan untuk menangani (masalah) dalam rilis produk di masa mendatang.”

Peneliti di Vectra Temukan kerentanan sambil membantu pelanggan mencoba menghapus akun yang dinonaktifkan dari penyiapan Teams mereka. Microsoft mengharuskan pengguna untuk masuk agar dihapus, jadi Vectra melihat data konfigurasi akun lokal. Mereka melanjutkan untuk menghapus referensi ke akun yang masuk. Apa yang mereka temukan sebagai gantinya, dengan mencari nama pengguna di file aplikasi, adalah ikon, yang jelas, menyediakan akses ke Skype dan Outlook. Setiap token yang ditemukan aktif dan dapat memberikan akses tanpa menantang dua faktor.

Ke depan, mereka membuat eksploitasi bukti konsep. Versi mereka mengunduh mesin SQLite ke folder lokal, menggunakannya untuk memindai penyimpanan lokal Teams untuk token autentikasi, lalu mengirimkan pesan prioritas tinggi kepada pengguna dengan teks token mereka. Konsekuensi potensial dari eksploitasi ini lebih besar daripada phishing beberapa pengguna dengan kode pribadi mereka, tentu saja:

Siapa pun yang menginstal dan menggunakan klien Microsoft Teams dalam hal ini menyimpan kredensial yang diperlukan untuk melakukan tindakan apa pun yang mungkin dilakukan melalui antarmuka pengguna Teams, bahkan ketika Teams dimatikan. Ini memungkinkan penyerang untuk mengubah file SharePoint, email Outlook, kalender, dan file obrolan Teams. Bahkan yang lebih merusak, penyerang dapat merusak komunikasi yang sah dalam suatu organisasi dengan menghancurkan, menyelundupkan, atau terlibat dalam serangan phishing yang ditargetkan secara selektif. Tidak ada batasan untuk kemampuan penyerang untuk menavigasi melalui lingkungan perusahaan Anda pada saat ini.

Vectra mencatat bahwa menavigasi melalui akses pengguna ke Teams adalah manfaat yang sangat kaya untuk serangan phishing, di mana aktor jahat dapat menyamar sebagai CEO atau CEO lain dan mencari tindakan dan klik dari karyawan tingkat bawah. Ini adalah strategi yang dikenal sebagai Business Email Compromise (BEC); Anda dapat membaca tentang itu Di blog Microsoft Tentang Masalah.

Aplikasi elektron telah ditemukan memiliki masalah keamanan yang mendalam sebelumnya. Presentasi 2019 menunjukkan bagaimana kerentanan browser dapat digunakan Injeksi kode ke Skype, Slack, WhatsApp, dan aplikasi Electron lainnya. Aplikasi WhatsApp desktop Electron telah ditemukan Celah lain di tahun 2020yang menyediakan akses ke file lokal melalui JavaScript yang disematkan dalam pesan.

Kami telah menghubungi Microsoft untuk memberikan komentar dan akan memperbarui posting ini jika kami menerima tanggapan.

Vectra merekomendasikan bahwa pengembang, jika mereka “harus menggunakan Electron untuk aplikasi Anda”, menyimpan token OAuth dengan aman menggunakan alat seperti KeyTar. Connor Peoples, seorang insinyur keamanan di Vectra, mengatakan kepada Dark Reading bahwa dia yakin Microsoft menjauh dari Electron dan bergerak menuju aplikasi web progresif, yang akan memberikan keamanan tingkat OS yang lebih baik seputar cookie dan penyimpanan.