Microsoft Teams archivia i codici di autenticazione in testo non crittografato e non verranno sottoposti a debug rapidamente

Il client Microsoft Teams archivia i codici di autenticazione degli utenti in un formato di testo non protetto, che potrebbe consentire agli aggressori con accesso locale di diffondere messaggi e spostarsi orizzontalmente all’interno dell’organizzazione, anche con l’autenticazione a due fattori abilitata, secondo l’azienda di sicurezza informatica.

Vectra consiglia di evitare il client desktop di Microsoft, che è costruito con il framework Electron per la creazione di applicazioni dalle tecnologie browser, fino a quando Microsoft non risolve il bug. L’utilizzo del client Teams basato sul Web all’interno di un browser come Microsoft Edge è, in una certa misura, più sicuro, afferma Vectra. Il problema segnalato riguarda utenti Windows, Mac e Linux.

Da parte sua, Microsoft ritiene che l’exploit Vectra “non soddisfi i nostri criteri per i servizi online” perché richiederebbe in primo luogo altre vulnerabilità per entrare nella rete. Un portavoce di Dark Reading ha detto che la società “considererà di affrontare (il problema) in una futura versione del prodotto”.

Ricercatori di Vectra Scopri la vulnerabilità mentre aiuti un cliente che tenta di rimuovere un account disabilitato dalla configurazione di Teams. Microsoft richiede agli utenti di accedere per essere rimossi, quindi Vectra ha esaminato i dati di configurazione dell’account locale. Hanno provveduto a rimuovere i riferimenti all’account connesso. Quello che hanno trovato invece, cercando il nome utente nei file dell’app, erano icone, che sono ovvie, che forniscono l’accesso a Skype e Outlook. Ogni token trovato era attivo e poteva concedere l’accesso senza mettere in discussione due fattori.

Andando avanti, hanno creato un exploit proof-of-concept. La loro versione scarica il motore SQLite in una cartella locale, lo usa per scansionare l’archivio locale di Teams per il token di autenticazione e quindi invia all’utente un messaggio ad alta priorità con il testo del token. Le potenziali conseguenze di questo exploit sono maggiori del phishing di alcuni utenti con i loro codici privati, ovviamente:

Chiunque installi e utilizzi il client Microsoft Teams in questo caso archivia le credenziali necessarie per eseguire qualsiasi azione possibile tramite l’interfaccia utente di Teams, anche quando Teams è disattivato. Ciò consente agli aggressori di modificare file di SharePoint, posta di Outlook, calendari e file di chat di Teams. Ancora più dannoso, gli aggressori possono manomettere le comunicazioni legittime all’interno di un’organizzazione distruggendo selettivamente, contrabbandando o partecipando ad attacchi di phishing mirati. Non c’è limite alla capacità di un utente malintenzionato di navigare nell’ambiente aziendale a questo punto.

Vectra osserva che la navigazione attraverso l’accesso degli utenti a Teams è un vantaggio particolarmente ricco per gli attacchi di phishing, in cui gli attori malintenzionati possono fingere di essere CEO o altri CEO e cercare azioni e clic da dipendenti di livello inferiore. È una strategia nota come Business Email Compromise (BEC); Puoi leggere a riguardo Sul blog Microsoft sui problemi.

In precedenza è stato scoperto che le applicazioni Electron hanno profondi problemi di sicurezza. La presentazione del 2019 ha mostrato come utilizzare le vulnerabilità del browser Iniezione di codice in Skype, Slack, WhatsApp e altre app Electron. L’applicazione WhatsApp desktop Electron è stata trovata Un’altra scappatoia nel 2020che fornisce l’accesso ai file locali tramite JavaScript incorporato nei messaggi.

Abbiamo contattato Microsoft per un commento e aggiorneremo questo post se riceviamo una risposta.

Vectra consiglia agli sviluppatori, se “devono utilizzare Electron per la tua app”, archiviare i token OAuth in modo sicuro utilizzando strumenti come KeyTar. Connor Peoples, un ingegnere della sicurezza di Vectra, ha detto a Dark Reading che crede che Microsoft si stia allontanando da Electron e si stia spostando verso applicazioni web progressive, che forniranno una migliore sicurezza a livello di sistema operativo per quanto riguarda i cookie e l’archiviazione.