Microsoft Teams slaat authentificatietokens op in duidelijke tekst die niet snel zal worden gepatcht

De Microsoft Teams-client slaat tokens voor gebruikersauthenticatie op in een onbeveiligde tekstindeling, waardoor aanvallers met lokale toegang mogelijk berichten kunnen posten en zich door de organisatie kunnen verplaatsen, zelfs als tweefactorauthenticatie is ingeschakeld, aldus het cyberbeveiligingsbedrijf.

Vectra raadt aan om de desktopclient van Microsoft, gebouwd met behulp van het Electron-platform, te vermijden voor het bouwen van applicaties met behulp van browsertechnologieën totdat Microsoft de fout verhelpt. Het gebruik van de Teams-webclient in een browser zoals Microsoft Edge is, paradoxaal genoeg, veiliger, beweert Vectra. Het gemelde probleem treft Windows-, Mac- en Linux-gebruikers.

Microsoft van zijn kant is van mening dat de Vectra-exploit “niet voldoet aan onze eisen voor onmiddellijke service”, aangezien er in de eerste plaats andere kwetsbaarheden nodig zijn om het netwerk te infiltreren. Een woordvoerder vertelde Dark Reading dat het bedrijf “zou kijken naar het oplossen van (het probleem) in een toekomstige productrelease.”

Vectra-onderzoekers ontdekten de kwetsbaarheid terwijl ze een klant hielpen die een uitgeschakeld account probeerde te verwijderen uit hun Teams-configuratie. Microsoft vereist dat gebruikers zijn aangemeld om de installatie ongedaan te maken, dus keek Vectra naar de lokale accountconfiguratiegegevens. Ze waren van plan om links naar het ingelogde account te verwijderen. In plaats daarvan vonden ze bij het opzoeken van de gebruikersnaam in de applicatiebestanden tokens die toegang verlenen tot Skype en Outlook. Elk gevonden token was actief en kon toegang verlenen zonder tweefactorauthenticatie te activeren.

Ze gingen verder en creëerden een experimentele exploit. Hun versie downloadt de SQLite-engine naar een lokale map, gebruikt deze om de lokale opslag van de Teams-app te scannen op een authenticatietoken en stuurt vervolgens een bericht met hoge prioriteit naar de gebruiker met de eigen tekst van het token. De mogelijke gevolgen van deze exploit zijn natuurlijk meer dan het phishing van sommige gebruikers met hun eigen tokens:

Iedereen die de Microsoft Teams-client in deze status installeert en gebruikt, behoudt de referenties die nodig zijn om elke mogelijke actie uit te voeren via de Teams-gebruikersinterface, zelfs wanneer Teams is gesloten. Hierdoor kunnen aanvallers SharePoint-bestanden, Outlook-mail en -agenda’s en Teams-chatbestanden wijzigen. Nog gevaarlijker is dat aanvallers legitieme communicatie binnen een organisatie kunnen verstoren door selectief te vernietigen, te exfiltreren of gerichte phishing-aanvallen uit te voeren. Op dit moment is het vermogen van een aanvaller om zich in de omgeving van uw bedrijf te verplaatsen onbeperkt.

Vectra merkt op dat het navigeren door gebruikerstoegang tot Teams een bijzonder rijke bron is voor phishing-aanvallen, aangezien aanvallers zich kunnen voordoen als CEO’s of andere leidinggevenden en acties en klikken van werknemers op een lager niveau kunnen vragen. Dit is een strategie die bekend staat als Business Email Compromise (BEC); je kunt erover lezen op de Microsoft-blog On the Issues .

Elektron-applicaties bleken eerder ernstige beveiligingsproblemen te bevatten. Een presentatie uit 2019 liet zien hoe kwetsbaarheden in browsers kunnen worden misbruikt om code te injecteren in Skype, Slack, WhatsApp en andere Electron-apps. In 2020 werd nog een kwetsbaarheid ontdekt in de WhatsApp Electron-desktopapplicatie, die lokale toegang tot bestanden mogelijk maakt via JavaScript dat in berichten is ingesloten.

We hebben contact opgenomen met Microsoft voor commentaar en zullen dit bericht bijwerken als we een reactie krijgen.

Vectra raadt ontwikkelaars aan om, als ze Electron voor hun toepassing moeten gebruiken, OAuth-tokens veilig op te slaan met behulp van tools zoals KeyTar. Connor Peoples, beveiligingsarchitect bij Vectra, vertelde Dark Reading dat hij gelooft dat Microsoft afstapt van Electron en op weg is naar Progressive Web Apps, dat een betere beveiliging op OS-niveau zal bieden met betrekking tot cookies en opslag.