Microsoft Teams はクリア テキストの認証コードを保存し、すぐにはデバッグされません。

Microsoft の Teams クライアントは、ユーザーの認証コードを保護されていないテキスト形式で保存するため、2 要素認証が有効になっている場合でも、ローカル アクセスを持つ攻撃者がメッセージを拡散し、組織全体に水平に移動する可能性があります。

Vectra は、Microsoft がバグを修正するまで、ブラウザ テクノロジからアプリケーションを作成するための Electron フレームワークで構築された Microsoft のデスクトップ クライアントを避けることを推奨しています。 Microsoft Edge のようなブラウザー内で Web ベースの Teams クライアントを使用することは、ある程度安全であると Vectra は主張しています。 報告された問題は、Windows、Mac、および Linux ユーザーに影響します。

Microsoft は、Vectra エクスプロイトが「オンライン サービスの基準を満たしていない」と考えています。なぜなら、そもそもネットワーク内に侵入するには他の脆弱性が必要になるからです。 Dark Reading の広報担当者は、次のように述べています。 同社は「将来の製品リリースで (問題) に対処することを検討する」と述べています。

ベクトラの研究者 Teams セットアップから無効なアカウントを削除しようとしている顧客を支援しているときに、脆弱性を発見します。 Microsoft は、ユーザーがサインインして削除することを要求しているため、Vectra はローカル アカウントの構成データを調べました。 彼らは、ログインしたアカウントへの参照を削除しました。 代わりに、アプリのファイルでユーザー名を検索して見つけたのは、Skype と Outlook へのアクセスを提供する明白なアイコンでした。 見つかった各トークンはアクティブであり、2 つの要素に挑戦することなくアクセスを許可できました。

今後、彼らは概念実証のエクスプロイトを作成しました。 彼らのバージョンは、SQLite エンジンをローカル フォルダーにダウンロードし、それを使用して Teams ローカル ストレージをスキャンして認証トークンを探し、トークン テキストを含む優先度の高いメッセージをユーザーに送信します。 もちろん、このエクスプロイトの潜在的な結果は、一部のユーザーをプライベート コードでフィッシングするよりも大きなものです。

この場合、Microsoft Teams クライアントをインストールして使用するすべてのユーザーは、Teams がオフになっている場合でも、Teams ユーザー インターフェイスを介して可能なアクションを実行するために必要な資格情報を保存します。 これにより、攻撃者は SharePoint ファイル、Outlook メール、カレンダー、および Teams チャット ファイルを変更できます。 さらに損害を与えるのは、攻撃者が標的型フィッシング攻撃を選択的に破壊、密輸、または関与することで、組織内の正当な通信を改ざんする可能性があることです。 この時点で、攻撃者が企業環境をナビゲートする能力に制限はありません。

Vectra は、Teams へのユーザー アクセスをナビゲートすることは、悪意のあるアクターが CEO や他の CEO になりすまして、下層部の従業員からアクションやクリックを求めるフィッシング攻撃に対して特に大きなメリットがあると述べています。 これは、Business Email Compromise (BEC) として知られる戦略です。 あなたはそれについて読むことができます Microsoft ブログで 問題について.

Electron アプリケーションには、深刻なセキュリティ上の問題があることが以前に発見されています。 2019 年のプレゼンテーションでは、ブラウザの脆弱性がどのように利用されるかを示しました Skype、Slack、WhatsApp、その他の Electron アプリへのコード インジェクション. Electron デスクトップの WhatsApp アプリケーションが見つかりました 2020 年のもう 1 つの抜け穴、メッセージに埋め込まれた JavaScript を介してローカル ファイルへのアクセスを提供します。

Microsoft にコメントを求めて連絡を取り、応答があればこの投稿を更新します。

Vectra は、開発者が「アプリに Electron を使用する必要がある」場合は、KeyTar などのツールを使用して OAuth トークンを安全に保存することを推奨しています。 Vectra のセキュリティ エンジニアである Connor Peoples は、Dark Reading に、Microsoft が Electron から離れて、Cookie とストレージに関するより優れた OS レベルのセキュリティを提供する進歩的な Web アプリケーションに向かっていると考えていると語った.