Microsoft Teams speichert Authentifizierungstoken im unverschlüsselten Klartextmodus, sodass Angreifer potenziell die Kommunikation innerhalb einer Organisation kontrollieren können, so die Sicherheitsfirma Vectra. Der Fehler betrifft die Desktop-App für Windows, Mac und Linux, die mit Microsofts Electron-Framework erstellt wurde. Microsoft ist sich des Problems bewusst, sagte jedoch, es habe keine Pläne für eine baldige Lösung, da ein Exploit auch einen Netzwerkzugriff erfordern würde.
Laut Vectra könnte ein Hacker mit lokalem oder Remote-Systemzugriff die Zugangsdaten für jeden Team-Benutzer stehlen, der gerade online ist, und sich dann für ihn ausgeben, selbst wenn er offline ist. Sie könnten sich auch über mit Teams verknüpfte Apps wie Skype oder Outlook als Benutzer ausgeben und dabei die normalerweise erforderliche Multifaktor-Authentifizierung (MFA) umgehen.
„Dies ermöglicht es Angreifern, SharePoint-Dateien, Outlook-Mails und -Kalender sowie Teams-Chat-Dateien zu modifizieren“, schreibt Vectra-Sicherheitsarchitekt Connor Peoples. „Noch schlimmer ist, dass Angreifer die legitime Kommunikation innerhalb einer Organisation manipulieren können, indem sie gezielt Phishing-Angriffe zerstören, exfiltrieren oder durchführen.“
Angreifer können die legitime Kommunikation innerhalb einer Organisation manipulieren, indem sie gezielte Phishing-Angriffe zerstören, exfiltrieren oder durchführen.
Vectra erstellte einen Proof-of-Concept-Exploit, der es ihnen ermöglichte, über ein Zugriffstoken eine Nachricht an das Konto des Inhabers der Anmeldeinformationen zu senden. „Wenn Angreifer die volle Kontrolle über kritische Arbeitsplätze übernehmen – wie den Leiter der Technik, den CEO oder den CFO eines Unternehmens –, können sie Benutzer davon überzeugen, Aufgaben auszuführen, die dem Unternehmen schaden.“
Das Problem ist hauptsächlich auf die Desktop-App beschränkt, da das Electron-Framework (das im Wesentlichen einen Web-App-Port erstellt) im Gegensatz zu modernen Webbrowsern „keine zusätzlichen Sicherheitskontrollen zum Schutz von Cookie-Daten“ hat. Daher empfiehlt Vectra, die Desktop-App nicht zu verwenden, bis ein Patch erstellt wurde, und stattdessen die Webanwendung zu verwenden.
Wenn Sie von der Website für Cybersicherheitsnachrichten informiert werden Dunkles Lesen der Schwachstelle sagte Microsoft, dass sie „unsere Messlatte für eine sofortige Wartung nicht erfüllt, da ein Angreifer zunächst Zugriff auf ein Zielnetzwerk erhalten muss“, und fügte hinzu, dass es erwägen würde, sie in einer zukünftigen Produktversion anzugehen.
Doch Bedrohungsjäger John Bambenek erzählte Dunkles Lesen es könnte ein sekundäres Mittel für eine “seitliche Bewegung” im Falle einer Netzwerkverletzung darstellen. Er merkte auch an, dass Microsoft sich in Richtung Progressive Web Apps bewegt, die „viele der derzeit von Electron geäußerten Bedenken entschärfen würden“.
Alle von Engadget empfohlenen Produkte werden von unserem Redaktionsteam unabhängig von unserer Muttergesellschaft ausgewählt. Einige unserer Geschichten enthalten Affiliate-Links. Wenn Sie etwas über einen dieser Links kaufen, erhalten wir möglicherweise eine Affiliate-Provision. Alle Preise sind zum Zeitpunkt der Veröffentlichung korrekt.