Zespoły w końcu pozwolą Ci opuszczać spotkania na wielu urządzeniach jednym kliknięciem w sierpniu
Agencja internetowa » Wiadomości cyfrowe » Aplikacja Teams na komputery przechowuje tokeny uwierzytelniania bez ochrony dostępu

Aplikacja Teams na komputery przechowuje tokeny uwierzytelniania bez ochrony dostępu

ParTremplin Numérique opublikowany

Eksperci ds. bezpieczeństwa z firmy Vectra zajmującej się cyberbezpieczeństwem poinformowali o odkryciu wskazującym na poważny problem z bezpieczeństwem w Zespoły Microsoft aplikacja komputerowa w systemach Windows, Linux i Mac. Według grupy, źli aktorzy mogą obejść wieloskładnikową ochronę uwierzytelniania użytkowników za pomocą tej luki, kradnąc tokeny uwierzytelniające, dając im możliwość uzyskania dostępu do konta użytkownika. (Iść przez Sygnał dźwiękowy komputera)

Vectra znalazła plik ldb podczas próby usunięcia wyłączonych kont z aplikacji klienckich. Analitycy stwierdzili, że plikowi towarzyszyły tokeny dostępu w postaci zwykłego tekstu. To wyraźnie wskazuje, że Microsoft Teams przechowuje tokeny uwierzytelniania użytkowników bez odpowiedniej ochrony, aby uzyskać do nich dostęp. „Po sprawdzeniu ustalono, że te tokeny dostępu były aktywne, a nie przypadkowe zrzuty z poprzedniego błędu” – wyjaśnił Vectra. „Te tokeny dostępu dały nam dostęp do interfejsów API programu Outlook i Skype. »

Może to stanowić poważny problem w przypadku, gdy zły aktor może już uzyskać dostęp do systemu lokalnie, w którym zainstalowane są zespoły. Dzięki tej podatności tokeny nie są chronione. A ponieważ różne złośliwe oprogramowanie kradnące informacje czai się teraz wszędzie, może stanowić zagrożenie dla użytkowników Microsoft Teams. „Ten atak nie wymaga specjalnych uprawnień ani zaawansowanego złośliwego oprogramowania, aby uniknąć poważnych uszkodzeń wewnętrznych” – dodał Connor Peoples of Vectra.

Vectra odkryła problem w zeszłym miesiącu i natychmiast zgłosiła go firmie Microsoft. Jednak tak jak w przypadku Projektowanie elementów „niebezpiecznych” zespołów udostępniony przez konsultanta ds. cyberbezpieczeństwa Bobby'ego Raucha w maju i czerwcu 2022 r., Microsoft odrzucił pomysł grawitacji zgłoszony przez Vectrę.

„Opisana technika nie odpowiada naszemu natychmiastowemu paskowi usług, ponieważ wymaga, aby atakujący najpierw uzyskał dostęp do sieci docelowej” — powiedział Microsoft Bleeping Computer poproszony o komentarz. „Doceniamy partnerstwo Vectra Protect w identyfikowaniu i odpowiedzialnym ujawnianiu tego problemu i rozważymy rozwiązanie go w przyszłym wydaniu produktu. »

★ ★ ★ ★ ★

Tremplin Numérique

Pisanie Tremplin Numérique, francuska agencja internetowa. Nasi autorzy codziennie i bezpłatnie dostarczają najnowsze wiadomości techniczne i cyfrowe we Francji i na całym świecie.