最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Microsoft Teams在Windows、Linux、Mac中将身份验证令牌存储为明文

网络安全 快米云 来源:快米云 52浏览

团队

安全分析师在 Microsoft Teams 的桌面应用程序中发现了一个严重的安全漏洞,该漏洞使威胁参与者可以访问身份验证令牌和启用了多因素身份验证 (MFA) 的帐户。

Microsoft Teams 是一个通信平台,包含在 365 产品系列中,被超过 2.7 亿人用于交换文本消息、视频会议和存储文件。

新发现的安全问题会影响适用于 Windows、Linux 和 Mac 的应用程序版本,并指的是 Microsoft Teams 以明文形式存储用户身份验证令牌,而不保护对它们的访问。

在安装了 Microsoft Teams 的系统上具有本地访问权限的攻击者可以窃取令牌并使用它们登录受害者的帐户。

网络安全公司 Vectra 的 Connor Peoples 在本周的一份报告中解释说:“这种攻击不需要特殊权限或高级恶意软件即可摆脱重大内部损害。”

研究人员补充说,通过“控制关键职位——比如公司的工程主管、首席执行官或首席财务官——攻击者可以说服用户执行对组织有害的任务。”

Vectra 研究人员在 2022 年 8 月发现了这个问题,并将其报告给了微软。然而,微软并没有就问题的严重性达成一致,并表示它不符合修补标准。

问题详情

Microsoft Teams 是一款 Electron 应用程序,这意味着它在浏览器窗口中运行,包含常规网页所需的所有元素(cookie、会话字符串、日志等)。

默认情况下,Electron 不支持加密或受保护的文件位置,因此尽管软件框架用途广泛且易于使用,但除非应用广泛的定制和额外的工作,否则它被认为不足以开发关键任务产品。

Vectra 在试图找到从客户端应用程序中删除停用帐户的方法时分析了 Microsoft Teams,并发现了一个带有明文访问令牌的ldb文件。

“经审查,确定这些访问令牌是活动的,而不是意外转储以前的错误。这些访问令牌使我们能够访问 Outlook 和 Skype API。” 

此外,分析师发现“Cookies”文件夹还包含有效的身份验证令牌,以及帐户信息、会话数据和营销标签。

Cookies 目录上的身份验证令牌
Cookies 目录上的身份验证令牌 (Vectra)

最后,Vectra 通过滥用允许向自己发送消息的 API 调用开发了一个漏洞。使用 SQLite 引擎读取 Cookies 数据库,研究人员在他们的聊天窗口中收到了身份验证令牌作为消息。

在攻击者的个人聊天中以文本形式收到的令牌
在攻击者的个人聊天 (Vectra)中以文本形式收到的令牌

最大的担忧是该漏洞将被信息窃取恶意软件滥用,这些恶意软件已成为网络钓鱼活动中最常分发的有效载荷之一。

使用这种类型的恶意软件,威胁参与者将能够窃取 Microsoft Teams 身份验证令牌并以用户身份远程登录,绕过 MFA 并获得对帐户的完全访问权限。

信息窃取者已经在为其他应用程序执行此操作,例如 Google Chrome、Microsoft Edge、Mozilla Firefox、Discord 等等。

风险缓解

由于不太可能发布补丁,Vectra 建议用户切换到 Microsoft Teams 客户端的浏览器版本。通过使用 Microsoft Edge 加载应用程序,用户可以从针对令牌泄漏的额外保护中受益。

研究人员建议 Linux 用户转移到不同的协作套件,尤其是在微软宣布计划在 12 月之前停止支持该平台的应用程序之后。

对于那些不能立即转移到不同解决方案的人,他们可以创建一个监控规则来发现访问以下目录的进程:

  • [Windows] %AppData%\Microsoft\Teams\Cookies
  • [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
  • [Linux] ~/.config/Microsoft/Microsoft 团队/Cookies
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

BleepingComputer 已与微软联系,了解该公司计划发布该问题的修复程序,并将在我们得到答复后更新文章。

22 年 9月 14 日更新 – 微软发言人就 Vectra 的调查结果向我们发送了以下评论:

所描述的技术不符合我们的即时服务标准,因为它需要攻击者首先获得对目标网络的访问权限。

我们感谢 Vectra Protect 在识别和负责任地披露此问题方面的合作,并将考虑在未来的产品版本中解决。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Microsoft Teams在Windows、Linux、Mac中将身份验证令牌存储为明文