Araştırmacılar, Microsoft Teams’de, bu hesaplar çok faktörlü kimlik doğrulama ile korunsa bile tehdit aktörlerinin diğer kişilerin hesaplarına giriş yapmasına izin veren bir güvenlik açığı olduğunu iddia etti.
Vectra’dan siber güvenlik analistleri, Windows, Linux ve Mac için Teams masaüstü uygulamasının, erişimi koruyan herhangi bir kilit olmaksızın kullanıcı kimlik doğrulama belirteçlerini açık metin olarak sakladığını söylüyor. Teams yüklü bir sisteme yerel erişimi olan herkes bu jetonları çalabilir ve hesaplarda oturum açmak için kullanabilir.
Vectra’dan Connor Peoples, “Bu saldırı, büyük dahili hasardan kurtulmak için özel izinler veya gelişmiş kötü amaçlı yazılım gerektirmiyor” dedi – Öte yandan Microsoft, tüm anlaşmanın orantısız olduğunu ve sorunu çözmekle ilgilenmediğini söylüyor. Şu anda.
Aktif jetonlar
Sorun, Microsoft Teams’in tarayıcı pencerelerinde çalışan bir Electron uygulaması olması gerçeğinde yatmaktadır. Electron, şifreleme veya varsayılan olarak korumalı dosya konumları desteği ile gelmediğinden, kullanımı biraz daha kolaydır, ancak aynı zamanda şeylerin veri koruma tarafında da risklidir. Daha derin bir analiz, belirteçlerin yanlışlıkla veya önceki bir veri dökümünün parçası olarak saklanmadığını ortaya çıkardı.
Vectra, “İnceleme sonucunda, bu erişim belirteçlerinin etkin olduğu ve önceki bir hatanın yanlışlıkla atılmadığı belirlendi. Bu erişim belirteçleri bize Outlook ve Skype API’lerine erişim sağladı” dedi. Dahası, “çerezler” klasörü de tutuldu. belirteçler, hesap bilgileri, oturum verileri ve diğer değerli bilgiler.
Ancak Microsoft, o kadar ciddi olmadığını ve yama kriterlerini karşılamadığını söyleyerek her şeyi oynadı.
Gönderilen açıklamada BleeBilgisayar, Microsoft, “Açıklanan teknik, bir saldırganın önce bir hedef ağa erişmesini gerektirdiğinden, anında hizmet için çubuğumuzu karşılamıyor. Vectra Protect’in bu sorunu belirleme ve sorumlu bir şekilde açıklama konusundaki ortaklığını takdir ediyoruz ve gelecekteki bir ürün sürümünde ele almayı düşüneceğiz.”
Öte yandan Vectra, aynı fikirde değil ve amacını kanıtlamak için, bir API çağrısını kötüye kullanan ve bir kullanıcının kendisine mesaj göndermesine izin veren bir istismar geliştirdi. SQLite motoru aracılığıyla çerez veritabanını okuyarak, istismar bir mesajda kimlik doğrulama belirteçlerini alabildi.
İşiniz için endişeleniyorsanız (yeni sekmede açılır) Vectra, belirteçleri ele geçirildikten sonra Teams istemcisinin tarayıcı sürümüne geçmeniz gerektiğini önerir. Linux kullanıcıları farklı bir işbirliğine geçmeli (yeni sekmede açılır) platformu da var.
- Bunlar en iyi VoIP (yeni sekmede açılır) şu anda çözümler
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)