Приложение Microsoft Teams хранит токены аутентификации в незашифрованном виде, разработчики не считают это критичным

sizkz0rqkqyild2zj9zsxigbvo0.jpeg

Эксперты из ИБ-компании Vectra выяснили, что десктопное приложение Microsoft Teams в версиях для ОС Windows, Linux и Mac хранит токены аутентификации в виде простого, незашифрованного текста. Разработчики из Microsoft в курсе ситуации. Они не считают это критичной проблемой.
Аналитики безопасности считают, что это серьёзная уязвимость в системе безопасности приложения Microsoft Teams, которая даёт злоумышленникам доступ к токенам аутентификации и учётным записям с включённой многофакторной проверкой подлинности (MFA). Причем Microsoft Teams не только хранит токены аутентификации пользователя в открытом виде, но и никак не обеспечивает защиту доступа к файлам с этими данными.

Злоумышленник или инсайдер с локальным доступом к системе, где установлено приложение Microsoft Teams, может скопировать токены аутентификации и использовать их для входа в учётную запись жертвы. Исследователи Vectra обнаружили эту проблему в августе 2022 года и сообщили о ней в Microsoft.

Microsoft Teams является приложением, созданным с помощью фреймворка для разработки настольных приложений Electron. Оно запускается в окне браузера со всеми элементами, необходимыми для обычной веб-страницы (файлы cookie, строки сеанса, журналы и так далее). В среде Electron по умолчанию не поддерживается шифрование или защищенное расположение файлов. Среди экспертов такой способ создания приложений не считается достаточно безопасным для разработки критически важных продуктов, если только в них не будут применены дополнительные системы защиты данных.

Изначально эксперты Vectra решили проанализировать работу Microsoft Teams, пытаясь найти способ удалить деактивированные учётные записи из клиентских приложений. В процессе этой работы они обнаружили файл ldb с токенами аутентификации в открытом виде.

image

После проверки было установлено, что эти токены были активными и не являлись случайным дампом данных, возникшим в системе из-за ошибки. Эти токены дали экспертам доступ к учётным записям Outlook и Skype пользователя ПК.

image

Кроме того, аналитики обнаружили, что в папке Cookies также содержатся действительные токены аутентификации, а также информация об учётной записи, данные сеанса и маркетинговые теги от приложения Microsoft Teams.

image

Исследователи разработали эксплойт, с помощью которого смогли получить и проверить свои новые токены.

image

Эксперты Vectra считают, что злоумышленники могут просканировать другие компьютеры в сети на предмет наличия подобных токенов и перехватить управление над учётными записями пользователей Microsoft Teams.

В Microsoft не согласилась с серьёзностью проблемы и заявили, что она не соответствует по критериям для оперативного исправления. «Описанная в ходе атаки методика не соответствует нашей планке для немедленного реагирования, поскольку требует, чтобы злоумышленник сначала получил доступ к внутренней части сети клиента или имел локальный доступ на ПК жертвы», — пояснили в Microsoft.

В Microsoft поблагодарили Vectra за раскрытие информации по этой проблемы и пообещали рассмотреть возможность её решения в будущей версии приложения Microsoft Teams без уточнения даты выхода патча.

Эксперты из Vectra рекомендуют пользователям удалить приложение Microsoft Teams и все относящиеся к нему файлы, а также использовать только браузерную версию клиента Microsoft Teams, где есть дополнительная защита данных и блокировка от утечек токенов аутентификации.

Системным администраторам, в компаниях которых нельзя перейти на другое решение, предлагается создать правило мониторинга для обнаружения процессов, обращающихся к следующим каталогам:

  • [Windows] %AppData%\Microsoft\Teams\Cookies;
  • [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb;
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies;
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb;
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies;
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb.

© Habrahabr.ru