O Microsoft Teams tem armazenado tokens de autenticação em texto simples

Steve Dent

Equipes da Microsoft Armazena tokens de autenticação em modo de texto simples não criptografado, permitindo que invasores controlem potencialmente as comunicações dentro de uma organização, de acordo com a empresa de segurança Vectra. A falha afeta o aplicativo de desktop para Windows, Mac e Linux construído usando a estrutura Electron da Microsoft. A Microsoft está ciente do problema, mas disse que não tem planos para uma correção tão cedo, já que uma exploração também exigiria acesso à rede.

De acordo com a Vectra, um hacker com acesso local ou remoto ao sistema pode roubar as credenciais de qualquer usuário do Teams atualmente online e, em seguida, personificá-los mesmo quando estiverem offline. Eles também podem fingir ser o usuário por meio de aplicativos associados ao Teams, como Skype ou Outlook, ignorando a autenticação multifator (MFA) normalmente necessária.

“Isso permite que os invasores modifiquem arquivos do SharePoint, emails e calendários do Outlook e arquivos de bate-papo do Teams”, escreveu o arquiteto de segurança da Vectra, Connor Peoples. “Ainda mais prejudicial, os invasores podem adulterar comunicações legítimas dentro de uma organização destruindo, exfiltrando ou engajando-se em ataques de phishing direcionados seletivamente”.

Os invasores podem adulterar comunicações legítimas dentro de uma organização destruindo, exfiltrando ou engajando-se seletivamente em ataques de phishing direcionados.

A Vectra criou uma exploração de prova de conceito que permitiu enviar uma mensagem para a conta do titular da credencial por meio de um token de acesso. “Assumindo o controle total de lugares críticos – como o chefe de engenharia, CEO ou CFO de uma empresa – os invasores podem convencer os usuários a realizar tarefas prejudiciais à organização”.

O problema é limitado principalmente ao aplicativo de desktop, porque a estrutura Electron (que essencialmente cria uma porta de aplicativo da web) não tem “controles de segurança adicionais para proteger os dados de cookies”, ao contrário dos navegadores modernos. Como tal, a Vectra recomenda não usar o aplicativo de desktop até que um patch seja criado e, em vez disso, usar o aplicativo da web.

Quando informado pelo site de notícias de segurança cibernética Leitura escura da vulnerabilidade, a Microsoft disse que “não atende a nossa exigência de serviço imediato, pois exige que um invasor primeiro obtenha acesso a uma rede de destino”, acrescentando que consideraria resolvê-lo em uma versão futura do produto.

No entanto, o caçador de ameaças John Bambenek disse Leitura escura poderia fornecer um meio secundário para “movimento lateral” no caso de uma violação da rede. Ele também observou que a Microsoft está se movendo em direção Aplicativos da web progressivos que “mitigaria muitas das preocupações atualmente trazidas pela Electron”.

Todos os produtos recomendados pelo Engadget são selecionados por nossa equipe editorial, independente de nossa matriz. Algumas de nossas histórias incluem links de afiliados. Se você comprar algo através de um desses links, podemos ganhar uma comissão de afiliado. Todos os preços estão corretos no momento da publicação.