O cliente Teams da Microsoft armazena os códigos de autenticação dos usuários em um formato de texto desprotegido, o que pode permitir que invasores com acesso local espalhem mensagens e se movam horizontalmente pela organização, mesmo com autenticação de dois fatores habilitada, de acordo com a empresa de segurança cibernética.
A Vectra recomenda evitar o cliente de desktop da Microsoft, que é construído com a estrutura Electron para criar aplicativos a partir de tecnologias de navegador, até que a Microsoft corrija o bug. Usar o cliente do Teams baseado na Web em um navegador como o Microsoft Edge é, até certo ponto, mais seguro, afirma Vectra. O problema relatado afeta usuários de Windows, Mac e Linux.
Por sua vez, a Microsoft acredita que a exploração do Vectra “não atende aos nossos critérios para serviços online” porque exigiria que outras vulnerabilidades entrassem na rede em primeiro lugar. Um porta-voz da Dark Reading. que a empresa “considerará abordar (o problema) em uma versão futura do produto”.
Pesquisadores da Vectra Descubra a vulnerabilidade enquanto ajuda um cliente a tentar remover uma conta desativada da configuração do Teams. A Microsoft exige que os usuários entrem para serem removidos, então a Vectra analisou os dados de configuração da conta local. Eles continuaram a remover as referências à conta conectada. O que eles encontraram, ao pesquisar o nome de usuário nos arquivos do aplicativo, foram ícones, que são óbvios, fornecendo acesso ao Skype e Outlook. Cada token encontrado estava ativo e podia conceder acesso sem desafiar dois fatores.
No futuro, eles criaram uma exploração de prova de conceito. Sua versão baixa o mecanismo SQLite para uma pasta local, usa-o para verificar o armazenamento local do Teams em busca do token de autenticação e, em seguida, envia ao usuário uma mensagem de alta prioridade com o texto do token. As consequências potenciais dessa exploração são maiores do que phishing alguns usuários com seus códigos privados, é claro:
Qualquer pessoa que instale e use o cliente Microsoft Teams nesse caso armazena as credenciais necessárias para realizar qualquer ação possível por meio da interface de usuário do Teams, mesmo quando o Teams está desativado. Isso permite que os invasores modifiquem arquivos do SharePoint, emails do Outlook, calendários e arquivos de bate-papo do Teams. Ainda mais prejudicial, os invasores podem adulterar comunicações legítimas dentro de uma organização destruindo seletivamente, contrabandeando ou engajando-se em ataques de phishing direcionados. Não há limite para a capacidade de um invasor navegar pelo ambiente corporativo neste momento.
A Vectra observa que navegar pelo acesso do usuário ao Teams é um benefício particularmente rico para ataques de phishing, em que atores mal-intencionados podem se passar por CEOs ou outros CEOs e buscar ações e cliques de funcionários de nível inferior. É uma estratégia conhecida como Business Email Compromise (BEC); Você pode ler sobre isso No blog da Microsoft sobre os problemas.
Já foi descoberto que os aplicativos do Electron têm problemas de segurança profundos antes. A apresentação de 2019 mostrou como as vulnerabilidades do navegador podem ser usadas Injeção de código no Skype, Slack, WhatsApp e outros aplicativos Electron. O aplicativo WhatsApp para desktop da Electron foi encontrado Mais uma brecha em 2020que fornece acesso a arquivos locais por meio de JavaScript incorporado nas mensagens.
Entramos em contato com a Microsoft para comentar e atualizaremos esta postagem se recebermos uma resposta.
A Vectra recomenda que os desenvolvedores, se “devem usar o Electron para seu aplicativo”, armazenem tokens OAuth com segurança usando ferramentas como o KeyTar. Connor Peoples, engenheiro de segurança da Vectra, disse ao Dark Reading que acredita que a Microsoft está se afastando do Electron e avançando em direção a aplicativos da Web progressivos, que fornecerão melhor segurança no nível do sistema operacional em torno de cookies e armazenamento.