Microsoft не шифрует токены проверки подлинности для пользователей Teams. Например, любой, у кого есть доступ к корпоративному устройству или сети, теоретически может выдать себя за законного сотрудника.
Microsoft Teams хранит незашифрованные токены проверки подлинности в удобочитаемом текстовом виде. Именно это обнаружили специалисты по безопасности компании Vectra. Эта проблема затрагивает настольные приложения Teams для Windows, Mac и Linux на основе Electron.
открытый доступ
согласно с Вектра С ошибкой может справиться злоумышленник, уже получивший доступ к сети или устройству жертвы. Утечка позволяет преступнику украсть токены учетных данных любого зарегистрированного пользователя Teams без дополнительных разрешений. С помощью украденного токена злоумышленник может выдать себя за другого человека и, таким образом, выполнить все действия, которые жертва также может выполнять в Teams.
Поскольку Microsoft рассматривает Teams как центральный узел цифровой работы, этого может быть много. Vectra утверждает, что все функции API Microsoft Graph доступны. Токен также позволяет злоумышленникам в некоторых случаях обходить MFA.
Генеральный директор, финансовый директор или нападающий?
Однако наибольшую опасность представляет фишинг. Хакер с доступом к сети может выдать себя за другого человека в организации через уязвимость. Не стесняйтесь думать о генеральном директоре или финансовом директоре. Когда последний просит кого-то из бухгалтерии изменить, например, номер счета клиента, велика вероятность, что это не вызовет подозрений.
Читайте также
Пять этапов кибератаки: когда еще можно вмешаться и когда уже слишком поздно?
Microsoft внезапно считает проблему довольно незначительной и не планирует ее исправлять сразу. Фермер программного обеспечения указывает, что ту же уязвимость нельзя использовать, если злоумышленник еще не имеет доступа к системе потенциальной жертвы через другую уязвимость.
Кибератаки существуют Как мы описали ранее, на разных этапах. Начальная трещина — это только первая стадия. При поиске данных для кражи или способов повреждения хакер должен бесшумно перемещаться по сети, не звоня в тревожные звоночки. Ошибка в Teams предоставила злоумышленникам дополнительные инструменты для достижения этой цели.
«Сертифицированный телезритель. Вызывающе скромный зомби-ниндзя. Защитник кофе. Веб-эксперт. Решатель проблем».
More Stories
Эта неожиданная (но очень стильная) красочная сумочка станет хитом этого лета.
На удивление непринужденный дуэт Роксана и Робин поют «Tikkie for Tears» (бульвар RTL)
Ubisoft запускает бесплатный шутер XDefiant 21 мая — Игры — Новости