Microsoft Teams не шифрует токены аутентификации

Microsoft не шифрует токены проверки подлинности для пользователей Teams. Например, любой, у кого есть доступ к корпоративному устройству или сети, теоретически может выдать себя за законного сотрудника.

Microsoft Teams хранит незашифрованные токены проверки подлинности в удобочитаемом текстовом виде. Именно это обнаружили специалисты по безопасности компании Vectra. Эта проблема затрагивает настольные приложения Teams для Windows, Mac и Linux на основе Electron.

открытый доступ

согласно с Вектра С ошибкой может справиться злоумышленник, уже получивший доступ к сети или устройству жертвы. Утечка позволяет преступнику украсть токены учетных данных любого зарегистрированного пользователя Teams без дополнительных разрешений. С помощью украденного токена злоумышленник может выдать себя за другого человека и, таким образом, выполнить все действия, которые жертва также может выполнять в Teams.

Поскольку Microsoft рассматривает Teams как центральный узел цифровой работы, этого может быть много. Vectra утверждает, что все функции API Microsoft Graph доступны. Токен также позволяет злоумышленникам в некоторых случаях обходить MFA.

Генеральный директор, финансовый директор или нападающий?

Однако наибольшую опасность представляет фишинг. Хакер с доступом к сети может выдать себя за другого человека в организации через уязвимость. Не стесняйтесь думать о генеральном директоре или финансовом директоре. Когда последний просит кого-то из бухгалтерии изменить, например, номер счета клиента, велика вероятность, что это не вызовет подозрений.

Microsoft внезапно считает проблему довольно незначительной и не планирует ее исправлять сразу. Фермер программного обеспечения указывает, что ту же уязвимость нельзя использовать, если злоумышленник еще не имеет доступа к системе потенциальной жертвы через другую уязвимость.

Кибератаки существуют Как мы описали ранее, на разных этапах. Начальная трещина — это только первая стадия. При поиске данных для кражи или способов повреждения хакер должен бесшумно перемещаться по сети, не звоня в тревожные звоночки. Ошибка в Teams предоставила злоумышленникам дополнительные инструменты для достижения этой цели.