Microsoft Teams lagrar autentiseringstokens i klartext som inte kommer att korrigeras snabbt

Microsoft Teams-klienten lagrar användarautentiseringstokens i ett osäkert textformat, vilket potentiellt tillåter angripare med lokal åtkomst att posta meddelanden och flytta runt i organisationen även med tvåfaktorsautentisering aktiverad, enligt cybersäkerhetsföretaget.

Vectra rekommenderar att du undviker Microsofts skrivbordsklient byggd med Electron-plattformen för att bygga applikationer med webbläsarteknik tills Microsoft har åtgärdat felet. Att använda Teams webbklient i en webbläsare som Microsoft Edge är paradoxalt nog säkrare, hävdar Vectra. Det rapporterade problemet påverkar Windows-, Mac- och Linux-användare.

Microsoft, å sin sida, anser att Vectra-missbruket ”inte uppfyller vårt krav för omedelbar service”, eftersom andra sårbarheter skulle krävas för att infiltrera nätverket i första hand. En talesperson sa till Dark Reading att företaget skulle ”undersöka att lösa (problemet) i en framtida produktsläpp.”

Vectra-forskare upptäckte sårbarheten när de hjälpte en kund som försökte ta bort ett inaktiverat konto från deras Teams-konfiguration. Microsoft kräver att användare är inloggade för att avinstallera, så Vectra tittade på konfigurationsdata för det lokala kontot. De hade för avsikt att ta bort länkar till det inloggade kontot. När de istället slog upp användarnamnet i applikationsfilerna hittade de tokens som ger åtkomst till Skype och Outlook. Varje token som hittades var aktiv och kunde ge åtkomst utan att utlösa tvåfaktorsverifiering.

När de gick längre skapade de en experimentell bedrift. Deras version laddar ner SQLite-motorn till en lokal mapp, använder den för att skanna Teams-appens lokala lagring efter en autentiseringstoken och skickar sedan ett högprioriterat meddelande till användaren med tokens egen text. De potentiella konsekvenserna av detta utnyttjande är naturligtvis mer än att nätfiska vissa användare med sina egna tokens:

Alla som installerar och använder Microsoft Teams-klienten i detta tillstånd behåller de autentiseringsuppgifter som krävs för att utföra alla möjliga åtgärder via Teams användargränssnitt, även när Teams är stängt. Detta gör att angripare kan ändra SharePoint-filer, Outlook-e-post och kalendrar och Teams-chattfiler. Ännu farligare är att angripare kan störa legitim kommunikation inom en organisation genom att selektivt förstöra, exfiltrera eller delta i riktade nätfiskeattacker. För närvarande är en angripares förmåga att röra sig i ditt företags miljö inte begränsad.

Vectra noterar att navigering genom användaråtkomst till Teams är en särskilt rik källa för nätfiskeattacker, eftersom angripare kan posera som VD:ar eller andra chefer och begära åtgärder och klick från anställda på lägre nivå. Detta är en strategi som kallas affärse-postkompromiss (BEC); du kan läsa om det på Microsofts blogg On the Issues .

Elektronapplikationer visade sig tidigare innehålla allvarliga säkerhetsproblem. En presentation från 2019 visade hur webbläsarsårbarheter kan utnyttjas för att injicera kod i Skype, Slack, WhatsApp och andra Electron-appar. År 2020 upptäcktes en annan sårbarhet i WhatsApp Electron-skrivbordsapplikationen, som tillåter lokal åtkomst till filer via JavaScript inbäddat i meddelanden.

Vi har kontaktat Microsoft för kommentarer och kommer att uppdatera det här inlägget om vi får svar.

Vectra rekommenderar att utvecklare, om de ”behöver använda Electron för sin applikation”, säkert lagrar OAuth-tokens med hjälp av verktyg som KeyTar. Connor Peoples, säkerhetsarkitekt på Vectra, sa till Dark Reading att han tror att Microsoft går bort från Electron och går mot progressiva webbappar, som kommer att ge bättre säkerhet på OS-nivå när det gäller cookies och lagring.