Hackerii au împărtășit detalii despre descoperirea unei vulnerabilități în aplicația desktop Microsoft Teams pentru Windows, Mac și Linux. Hackul ar permite celor rau intenționați cu acces la fișierele dintr-un sistem care rulează Microsoft Teams să fure tokenuri de autentificare de la un utilizator conectat.
Această vulnerabilitate este legată de faptul că aplicația Microsoft Teams stochează tokenuri de autentificare în text simplu, fără o protecție adecvată. În acest sens, un atacator ar putea folosi aceste tokenuri de autentificare pentru a se conecta în contul victimei, chiar dacă are activată autentificarea multifactor (MFA). De asemenea, deoarece atacatorul nu are nevoie de permisiuni ridicate pentru a citi aceste fișiere, acesta poate fi exploatat în orice atac în care a obținut acces fizic sau de la distanță la sistem.
Microsoft Teams este o platformă puternică de comunicare și colaborare folosită de companii, instituții de învățământ și utilizatori care oferă chat, conferințe video și un număr mare de aplicații legate de organizarea sarcinilor, proiectelor și managementul informațiilor
Echipa de cercetare Vectra a fost cea care a descoperit această vulnerabilitate în august 2022 și s-a asigurat că o raportează la Microsoft. Cu toate acestea, gigantul tehnologic a spus că bug-ul raportat nu a îndeplinit cerințe suficiente pentru o lansare imediată a patch-urilor. După cum a declarat un purtător de cuvânt al Microsoft pentru Bleeping Computer, tehnica descrisă de Vectra nu își îndeplinește parametrii pentru un răspuns imediat, deoarece impune atacatorului să obțină mai întâi acces la rețeaua victimei.
Cercetătorii au publicat detalii despre descoperire, spunând că, în timp ce lucrau la o modalitate de a elimina vechile conturi Teams, au dat peste un fișier ldb care conține token-uri de acces în text simplu, la care au permis accesul în timpul testării API-urilor Teams. Outlook și Skype; cu tot ce presupune asta.
După cum au explicat ei, un aspect cheie pentru a explica acest eșec are de-a face cu faptul că Microsoft Teams este o dezvoltare care se bazează pe framework-ul aplicației Electron, folosită pentru a crea aplicații desktop capabile să fie executate într-un browser. Și deși acest lucru facilitează dezvoltarea, utilizarea unui browser web în contextul unei aplicații prezintă anumite riscuri de securitate. Acest lucru se datorează parțial pentru că dezvoltatorii de aplicații nu înțeleg pe deplin cum funcționează Electron, deoarece, de exemplu, acest cadru nu acceptă criptarea sau protecția locației fișierelor în mod implicit.
Specialiștii sunt îngrijorați de amploarea pe care o poate avea această descoperire într-un scenariu în care atacatorii reușesc să compromită mai multe computere și pot prelua controlul unor conturi importante.
GifShell: o tehnică care utilizează fișiere GIF rău intenționate în Microsoft Teams
Pe lângă această vulnerabilitate, în urmă cu câteva săptămâni au fost dezvăluite detalii ale unei noi tehnici care profită de o serie de vulnerabilități și defecte din Microsoft Teams pentru a folosi platforma pentru atacuri de tip phishing, trimiterea de fișiere rău intenționate, exfiltrarea datelor sau chiar trimiterea de comenzi. Totul printr-un fișier GIF. Tehnica a fost numită GIFShell și a fost descoperită de cercetătorul Bobby Raunch.
