Sérülékenység: a Microsoft Teams alkalmazás a hitelesítési tokeneket egyszerű szövegben tárolja

kami911 képe

2022 augusztusában a Vectra Protect csapata azonosított egy olyan támadási útvonalat, amely lehetővé teszi a fájlrendszerhez hozzáféréssel rendelkező rosszindulatú támadó számára, hogy ellopják a Microsoft Teams bármelyik bejelentkezett felhasználójának hitelesítő adatait. A támadóknak nincs szükségük emelt szintű engedélyekre ezen fájlok olvasásához, ami minden olyan rosszindulatú támadásnak teret enged, amelyek helyi vagy távoli fájlelérést biztosít. Ezen túlmenően a biztonsági résről megállapították, hogy az összes kereskedelmi és asztali Teams klienst érinti Windows, Mac és Linux operációs rendszereken is.

Kutatásuk felfedezte, hogy a Microsoft Teams alkalmazás a hitelesítési tokeneket egyszerű szövegben tárolja. Ezekkel a tokenekkel a támadók felvehetika token tulajdonosának személyazonosságát a Microsoft Teams kliensen keresztül bármilyen engedélyezett művelethez, beleértve a token használatát a Microsoft Graph API funkciók eléréséhez a támadó rendszeréből. Ami még rosszabb, ezek az ellopott tokenek lehetővé teszik a támadók számára, hogy többtényezős azonosítást használó fiókokkal végezzenek műveleteket, így megteremtve a többtényezős azonosítás megkerülését.

A Microsoft tisztában van ezzel a problémával, és lezárta az ügyet azzal, hogy az nem felel meg az azonnali szoftver-hibajavítást igénylő követelményeinek. Amíg a Microsoft nem lép a Teams asztali alkalmazás frissítésére, a kutatók úgy gondolják, hogy az ügyfeleknek érdemes megfontolniuk, hogy kizárólag a webes Teams alkalmazást használják. Azon ügyfelek számára, akiknek a telepített asztali alkalmazást kell használniuk, kritikus fontosságú, hogy figyeljék a kulcsfontosságú alkalmazásfájlokat, hogy a hivatalos Teams alkalmazáson kívül más folyamatok ne férjenek hozzá.

Javaslatok a sérülékenység kihasználásának elkerüléséhez

Áttérés a webes alkalmazásra

A biztonsági kutatók nem javasolják a teljes Microsoft Teams kliens használatát, amíg a Microsoft nem javítja ezt a problémát. Használja a webes Teams-klienst böngészőben, amely több operációs rendszer szintű vezérlőelemmel rendelkezik a tokenszivárgás védelmére. Szerencsére a Teams webes alkalmazás robusztus, és támogatja az asztali kliens által engedélyezett legtöbb funkciót, így minimálisra csökkentve a szervezet termelékenységére gyakorolt hatásokat.

Miután a Microsoft frissítette az Electron Teams alkalmazásokat, továbbra is kritikus fontosságú, hogy a Teams alkalmazások, botok, konnektorok stb. jogosulatlan telepítésének megakadályozására a magas korlátozási modellre térjen át.

A Linux-felhasználók számára ez a javasolt út teljes mértékben ajánlott, mivel a Microsoft bejelentette, hogy a Teams for Linux életciklusa 2022 decemberében lejár.

Fájl-hozzáférés nyomon követése

Hozzon létre egy rendszerfigyelési szabályt az érzékeny fájlokhoz hozzáférő folyamatok azonosítására. Két konkrét fájl és mappa ajánlás van:

  • Windows
    • %AppData%\Microsoft\Teams\Cookies
    • %AppData%\Microsoft\Teams\Local Storage\leveldb
  • macOS
    • ~/Library/Application Support/Microsoft/Teams/Cookies
    • ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
  • Linux
    • ~/.config/Microsoft/Microsoft Teams/Cookies
    • ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

Ha a Teams alkalmazáson kívül más folyamat is hozzáfér ezekhez a fájlokhoz, az azt jelzi, hogy a tárolt adatokhoz, így a bejelentkezési tokenhez a Teams alkalmazáson kívül próbáltak meg hozzáférést szerezni.

A fejlesztőknek - más Elektron alkalmazások esetén

Ha az Electron futtató keretrendszert kell használnia az alkalmazásához, gondoskodjon az OAuth-tokenek biztonságos tárolásáról. A titkok tárolásának egyik ilyen módszere a KeyTar csomag használata, amely a helyi operációs rendszer biztonsági mechanizmusait használja a titkok kezeléséhez.

How to securely store sensitive information in Electron with node-keytar | Cameron Nokes | Medium

(forrás)