Zagrożenie bezpieczeństwa dla użytkowników Microsoft Teams. Niezabezpieczone tokeny mogą być wykorzystane przez hakerów

Zespół Vectra Protect zidentyfikował lukę dającą podmiotom które przedarły się do systemu i w rezultacie posiadającym wystarczający lokalny lub zdalny poziom dostępu do systemu plików możliwość kradzieży prawidłowych poświadczeń użytkownika z Microsoft Teams ze względu na ich przechowywanie na dysku w formie zwykłego tekstu. Zarządzanie poświadczeniami w postaci zwykłego tekstu dotyczy wszystkich klientów komercyjnych i GCC Desktop Teams dla systemów Windows, Mac i Linux.

Chociaż kradzież poświadczeń z pamięci masowej jest częstym działaniem po zapewnieniu sobie dostępu do systemu, to obniżenie poprzeczki do zwykłego uprawnienia odczytu plików w celu przejęcia danych dostępowych bardzo rozszerza możliwości przeciwnika, upraszcza jego zadania i jest szczególnie interesujące, gdyż skradzione dane dają możliwość zachowania dostępu z pominięciem utrudnienia w postaci niewygodnego uwierzytelniania wieloczynnikowego (MFA).

Microsoft Teams to aplikacja oparta na Electronie. Zasada działania Electrona polega na tym, że utworzona aplikacja internetowa działa wewnątrz dostosowanej przeglądarki. Jest to bardzo wygodne i sprawia, że programowanie jest szybkie i łatwe. Jednak uru-chomienie przeglądarki internetowej w kontekście aplikacji wymaga tradycyjnych danych przeglądarki, takich jak pliki cookie, dane sesji i logi.

Tu właśnie leży źródło problemu, ponieważ Electron nie obsługuje standardowych kontrolek przeglądarki, takich jak szyfrowanie, a lokalizacje plików chronione przez system nie są standardowo obsługiwane przez Electron, muszą zostać efektywnie obsłużone, aby zachować bezpieczeństwo. Zasada działania Electron domyślnie zachęca do tworzenia nadmiernie przejrzystych aplikacji. Ponieważ Electron zaciemnia problem złożoności tworzenia aplikacji, można spokojnie założyć, że niektórzy programiści mogą być nieświadomi konsekwencji swoich decyzji projektowych i często słyszy się, jak analitycy bezpieczeństwa aplikacji narzekają na użycie tego frameworka z powodu krytycznych przeoczeń bezpieczeństwa.

Microsoft przechowuje poświadczenia, aby zapewnić bezproblemową obsługę pojedynczego logowania w aplikacji. Jednak sposób w jaki ta funkcja została zaimplementowana drastycznie obniża poziom bezpieczeństwa.

Każdy, kto zainstaluje i używa klienta Microsoft Teams w tej implementacji, przechowuje niezabezpieczone poświadczenia potrzebne do wykonania dowolnej akcji możliwej za pośrednictwem interfejsu Teams, dostępne nawet gdy aplikacja Teams jest wyłączona. Gdy te tokeny zostaną przejęte przez nieupoważnioną osobę, może ona modyfikować pliki przechowywane na platformie SharePoint, pocztę i kalendarze w Outlook oraz pliki czatu Teams. Atakujący mogą manipulować komunikacją w organizacji poprzez selek-tywne niszczenie, przechwytywanie wrażliwych danych lub ukierunkowane ataki phishin-gowe.

Tym, co jest naprawdę przerażające, jest fakt rozprzestrzenionych po całym środowisku tokenów po walidacji MFA - umożliwia to kolejne ataki, które nie wymagają dodatkowych specjalnych uprawnień lub zaawansowanego złośliwego oprogramowania, aby dokonać znacznych szkód wewnętrznych pozostając niewykrytym. Przy wystarczającej liczbie zinfiltrowanych maszyn atakujący mogą w pełni manipulować komunikacją w organizacji.

Christian Putz, Country Manager w Vectra AI, podkreśla, że kluczowa do rozwiązania problemu jest reakcja Microsoft.

– Dopóki Microsoft nie zaktualizuje aplikacji Teams Desktop, uważamy, że klienci powinni być świadomi ryzyka związanego z przechowywaniem tokenów w postaci tekstu jawnego i ograniczyć to ryzyko poprzez monitorowanie nietypowego dostępu do plików lub modyfikacji lity kontroli dostępu (ACL) – mówi.