De Teams-client van Microsoft slaat de authenticatiecodes van gebruikers op in een onbeschermde tekstindeling, waardoor aanvallers met lokale toegang berichten kunnen verspreiden en horizontaal door de organisatie kunnen bewegen, zelfs als tweefactorauthenticatie is ingeschakeld, aldus het cyberbeveiligingsbedrijf.
Vectra raadt aan de desktopclient van Microsoft te vermijden, die is gebouwd met het Electron-framework voor het maken van applicaties op basis van browsertechnologieën, totdat Microsoft de bug heeft opgelost. Het gebruik van de webgebaseerde Teams-client in een browser als Microsoft Edge is tot op zekere hoogte veiliger, beweert Vectra. Het gemelde probleem treft Windows-, Mac- en Linux-gebruikers.
Microsoft van haar kant is van mening dat de Vectra-exploit “niet voldoet aan onze criteria voor online services”, omdat er in de eerste plaats andere kwetsbaarheden nodig zouden zijn om het netwerk binnen te dringen. Een woordvoerder van Dark Reading zei: dat het bedrijf “zal overwegen om (het probleem) in een toekomstige productrelease aan te pakken.”
Onderzoekers van Vectra Ontdek het beveiligingslek terwijl u een klant helpt die een uitgeschakeld account probeert te verwijderen uit hun Teams-configuratie. Microsoft vereist dat gebruikers zich aanmelden om te worden verwijderd, dus Vectra keek naar de configuratiegegevens van het lokale account. Ze gingen door met het verwijderen van verwijzingen naar het ingelogde account. Wat ze in plaats daarvan vonden, door te zoeken naar de gebruikersnaam in de bestanden van de app, waren pictogrammen, die voor de hand liggend zijn, die toegang bieden tot Skype en Outlook. Elk gevonden token was actief en kon toegang verlenen zonder twee factoren uit te dagen.
In de toekomst hebben ze een proof-of-concept exploit gemaakt. Hun versie downloadt de SQLite-engine naar een lokale map, gebruikt deze om de lokale opslag van Teams te scannen op het auth-token en stuurt de gebruiker vervolgens een bericht met hoge prioriteit met hun tokentekst. De mogelijke gevolgen van deze exploit zijn natuurlijk groter dan het phishing van sommige gebruikers met hun privécodes:
Iedereen die in dit geval de Microsoft Teams-client installeert en gebruikt, slaat de inloggegevens op die nodig zijn om elke mogelijke actie uit te voeren via de gebruikersinterface van Teams, zelfs wanneer Teams is uitgeschakeld. Hierdoor kunnen aanvallers SharePoint-bestanden, Outlook-mail, agenda’s en Teams-chatbestanden wijzigen. Nog schadelijker is dat aanvallers kunnen knoeien met legitieme communicatie binnen een organisatie door selectief te vernietigen, te smokkelen of gerichte phishing-aanvallen uit te voeren. Er is op dit moment geen limiet aan het vermogen van een aanvaller om door uw bedrijfsomgeving te navigeren.
Vectra merkt op dat het navigeren door gebruikerstoegang tot Teams een bijzonder groot voordeel is voor phishing-aanvallen, waarbij kwaadwillende actoren zich kunnen voordoen als CEO’s of andere CEO’s en acties en klikken van werknemers op een lager niveau kunnen zoeken. Het is een strategie die bekend staat als Business Email Compromise (BEC); Je kunt erover lezen Op de Microsoft-blog Over de problemen.
Er is al eerder ontdekt dat elektronentoepassingen ernstige beveiligingsproblemen hebben. Presentatie van 2019 liet zien hoe kwetsbaarheden in browsers kunnen worden gebruikt Code-injectie in Skype, Slack, WhatsApp en andere Electron-apps. De Electron desktop WhatsApp-applicatie is gevonden Nog een maas in de wet in 2020dat toegang biedt tot lokale bestanden via JavaScript dat is ingesloten in berichten.
We hebben contact opgenomen met Microsoft voor commentaar en zullen dit bericht bijwerken als we een reactie ontvangen.
Vectra raadt ontwikkelaars aan, als ze “Electron voor uw app moeten gebruiken”, OAuth-tokens veilig op te slaan met tools zoals KeyTar. Connor Peoples, een beveiligingsingenieur bij Vectra, vertelde Dark Reading dat hij gelooft dat Microsoft afstapt van Electron en overgaat op progressieve webapplicaties, die een betere beveiliging op OS-niveau rond cookies en opslag zullen bieden.
“Subtiel charmante tv-maven. Unapologetische communicator. Onruststoker. Reiswetenschapper. Wannabe-denker. Muziekfanaat. Amateur-ontdekkingsreiziger.”