MICROSOFT

i

Autor: Łukasz Trybulski/Super Biznes/Super Express MICROSOFT

Nowe technologie

Niezabezpieczony token Microsoft Teams

2022-10-31 15:19

Vectra AI wydała ostrzeżenie dotyczące nowego ryzyka dla Microsoft Teams. Analiza wykazała, że tokeny uwierzytelniania przechowywane są w niezabezpieczonej formie i mogą łatwo być wykorzystane przez hakerów. Choć sprawa została zgłoszona, Microsoft uznał, że problem nie spełnia wymagań dotyczących natychmiastowej obsługi.

Nowy sposób obejścia zabezpieczeń Microsoft Teams poprzez przejmowanie tokenów

Zespół Vectra Protect zidentyfikował lukę dającą podmiotom które przedarły się do systemu i w rezultacie posiadającym wystarczający lokalny lub zdalny poziom dostępu do systemu plików możliwość kradzieży prawidłowych poświadczeń użytkownika z Microsoft Teams ze względu na ich przechowywanie na dysku w formie zwykłego tekstu. Zarządzanie poświadczeniami w postaci zwykłego tekstu dotyczy wszystkich klientów komercyjnych i GCC Desktop Teams dla systemów Windows, Mac i Linux.

Chociaż kradzież poświadczeń z pamięci masowej jest częstym działaniem po zapewnieniu sobie dostępu do systemu, to obniżenie poprzeczki do zwykłego uprawnienia odczytu plików w celu przejęcia danych dostępowych bardzo rozszerza możliwości przeciwnika, upraszcza jego zadania i jest szczególnie interesujące, gdyż skradzione dane dają możliwość zachowania dostępu z pominięciem utrudnienia w postaci niewygodnego uwierzytelniania wieloczynnikowego (MFA).

Electron – Zaprzeczenie bezpieczeństwa

Microsoft Teams to aplikacja oparta na Electronie. Zasada działania Electrona polega na tym, że utworzona aplikacja internetowa działa wewnątrz dostosowanej przeglądarki. Jest to bardzo wygodne i sprawia, że ​​programowanie jest szybkie i łatwe. Jednak uruchomienie przeglądarki internetowej w kontekście aplikacji wymaga tradycyjnych danych przeglądarki, takich jak pliki cookie, dane sesji i logi.

Tu właśnie leży źródło problemu, ponieważ Electron nie obsługuje standardowych kontrolek przeglądarki, takich jak szyfrowanie, a lokalizacje plików chronione przez system nie są standardowo obsługiwane przez Electron, muszą zostać efektywnie obsłużone, aby zachować bezpieczeństwo. Zasada działania Electron domyślnie zachęca do tworzenia nadmiernie przejrzystych aplikacji. Ponieważ Electron zaciemnia problem złożoności tworzenia aplikacji, można spokojnie założyć, że niektórzy programiści mogą być nieświadomi konsekwencji swoich decyzji projektowych i często słyszy się, jak analitycy bezpieczeństwa aplikacji narzekają na użycie tego frameworka z powodu krytycznych przeoczeń bezpieczeństwa.

Niebezpieczne konsekwencje

Microsoft przechowuje poświadczenia, aby zapewnić bezproblemową obsługę pojedynczego logowania w aplikacji. Jednak sposób w jaki ta funkcja została zaimplementowana drastycznie obniża poziom bezpieczeństwa.

Każdy, kto zainstaluje i używa klienta Microsoft Teams w tej implementacji, przechowuje niezabezpieczone poświadczenia potrzebne do wykonania dowolnej akcji możliwej za pośrednictwem interfejsu Teams, dostępne nawet gdy aplikacja Teams jest wyłączona. Gdy te tokeny zostaną przejęte przez nieupoważnioną osobę, może ona modyfikować pliki przechowywane na platformie SharePoint, pocztę i kalendarze w Outlook oraz pliki czatu Teams. Atakujący mogą manipulować komunikacją w organizacji poprzez selektywne niszczenie, przechwytywanie wrażliwych danych lub ukierunkowane ataki phishingowe.

Tym, co jest naprawdę przerażające, jest fakt rozprzestrzenionych po całym środowisku tokenów po walidacji MFA - umożliwia to kolejne ataki, które nie wymagają dodatkowych specjalnych uprawnień lub zaawansowanego złośliwego oprogramowania, aby dokonać znacznych szkód wewnętrznych pozostając niewykrytym. Przy wystarczającej liczbie zinfiltrowanych maszyn atakujący mogą w pełni manipulować komunikacją w organizacji.

Christian Putz, Country Manager w Vectra AI, podkreśla, że kluczowa do rozwiązania problemu jest reakcja Microsoft. – Dopóki Microsoft nie zaktualizuje aplikacji Teams Desktop, uważamy, że klienci powinni być świadomi ryzyka związanego z przechowywaniem tokenów w postaci tekstu jawnego i ograniczyć to ryzyko poprzez monitorowanie nietypowego dostępu do plików lub modyfikacji lity kontroli dostępu (ACL) – mówi.

Pieniądze to nie wszystko Ireneusz Dąbrowski
Sonda
Czy byłeś kiedyś ofiarą hakera?

Źródło: vectra.ai

Nasi Partnerzy polecają
Najnowsze