Es gibt eine Sicherheitslücke in Microsoft Teams, die es Angreifern ermöglicht, sich bei den Konten anderer Personen anzumelden, selbst wenn diese Konten mit Multi-Faktor-Authentifizierung geschützt sind, haben Forscher behauptet.
Cybersicherheitsanalysten von Vectra sagen, dass die Teams-Desktopanwendung für Windows, Linux und Mac Benutzerauthentifizierungstoken im Klartext speichert, ohne dass Sperren den Zugriff schützen. Jeder mit lokalem Zugriff auf ein System, auf dem Teams installiert ist, kann diese Token stehlen und sich damit bei den Konten anmelden.
„Dieser Angriff erfordert keine besonderen Berechtigungen oder fortschrittliche Malware, um mit großen internen Schäden davonzukommen“, sagte Connor Peoples von Vectra – Microsoft hingegen sagt, dass der ganze Deal unverhältnismäßig ist und nicht daran interessiert ist, das Problem anzugehen zu dieser Zeit.
Aktive Token
Das Problem liegt in der Tatsache, dass Microsoft Teams eine Electron-App ist, die in einem Browserfenster ausgeführt wird. Da Electron standardmäßig keine Unterstützung für Verschlüsselung oder geschützte Dateispeicherorte bietet, ist es etwas einfacher zu verwenden, aber auch riskant in Bezug auf den Datenschutz. Eine eingehendere Analyse ergab, dass die Token nicht irrtümlicherweise oder als Teil eines früheren Datendumps gespeichert wurden.
„Bei der Überprüfung wurde festgestellt, dass diese Zugriffstoken aktiv waren und kein versehentlicher Dump eines früheren Fehlers. Diese Zugriffstoken gaben uns Zugriff auf die Outlook- und Skype-APIs“, erklärte Vectra. Außerdem enthielt der Ordner „Cookies“ auch Token, Kontoinformationen, Sitzungsdaten und andere wertvolle Informationen.
Aber Microsoft spielte das Ganze herunter und sagte, es sei nicht so schwerwiegend und erfülle nicht die Kriterien für das Patchen.
In einer Erklärung an gesendet Piepender Computer, sagte Microsoft: „Die beschriebene Technik erfüllt nicht unsere Anforderungen an eine sofortige Wartung, da ein Angreifer zunächst Zugriff auf ein Zielnetzwerk erhalten muss. Wir schätzen die Partnerschaft von Vectra Protect bei der Identifizierung und verantwortungsvollen Offenlegung dieses Problems und werden in Betracht ziehen, es in einer zukünftigen Produktversion anzugehen.“
Vectra hingegen ist anderer Meinung und hat, um seinen Standpunkt zu beweisen, einen Exploit entwickelt, der einen API-Aufruf missbraucht und es einem Benutzer ermöglicht, Nachrichten an sich selbst zu senden. Durch Lesen der Cookies-Datenbank über die SQLite-Engine konnte der Exploit die Authentifizierungstoken in einer Nachricht empfangen.
Wenn Sie sich Sorgen um Ihr Geschäft machen (öffnet in neuem Tab) Nachdem die Tokens gestohlen wurden, sollten Sie zur Browserversion des Teams-Clients wechseln, schlägt Vectra vor. Linux-Benutzer sollten zu einer anderen Kollaboration migrieren (öffnet in neuem Tab) Plattform auch.
- Das sind die besten VoIP (öffnet in neuem Tab) Lösungen jetzt
Über: Piepender Computer (öffnet in neuem Tab)