2022 augusztusában a Vectra Protect csapata azonosított egy olyan támadási útvonalat, amely lehetővé teszi a fájlrendszerhez hozzáféréssel rendelkező rosszindulatú támadó számára, hogy ellopják a Microsoft Teams bármelyik bejelentkezett felhasználójának hitelesítő adatait. A támadóknak nincs szükségük emelt szintű engedélyekre ezen fájlok olvasásához, ami minden olyan rosszindulatú támadásnak teret enged, amelyek helyi vagy távoli fájlelérést biztosít. Ezen túlmenően a biztonsági résről megállapították, hogy az összes kereskedelmi és asztali Teams klienst érinti Windows, Mac és Linux operációs rendszereken is.
Kutatásuk felfedezte, hogy a Microsoft Teams alkalmazás a hitelesítési tokeneket egyszerű szövegben tárolja. Ezekkel a tokenekkel a támadók felvehetika token tulajdonosának személyazonosságát a Microsoft Teams kliensen keresztül bármilyen engedélyezett művelethez, beleértve a token használatát a Microsoft Graph API funkciók eléréséhez a támadó rendszeréből. Ami még rosszabb, ezek az ellopott tokenek lehetővé teszik a támadók számára, hogy többtényezős azonosítást használó fiókokkal végezzenek műveleteket, így megteremtve a többtényezős azonosítás megkerülését.
A Microsoft tisztában van ezzel a problémával, és lezárta az ügyet azzal, hogy az nem felel meg az azonnali szoftver-hibajavítást igénylő követelményeinek. Amíg a Microsoft nem lép a Teams asztali alkalmazás frissítésére, a kutatók úgy gondolják, hogy az ügyfeleknek érdemes megfontolniuk, hogy kizárólag a webes Teams alkalmazást használják. Azon ügyfelek számára, akiknek a telepített asztali alkalmazást kell használniuk, kritikus fontosságú, hogy figyeljék a kulcsfontosságú alkalmazásfájlokat, hogy a hivatalos Teams alkalmazáson kívül más folyamatok ne férjenek hozzá.
Javaslatok a sérülékenység kihasználásának elkerüléséhez
Áttérés a webes alkalmazásra
A biztonsági kutatók nem javasolják a teljes Microsoft Teams kliens használatát, amíg a Microsoft nem javítja ezt a problémát. Használja a webes Teams-klienst böngészőben, amely több operációs rendszer szintű vezérlőelemmel rendelkezik a tokenszivárgás védelmére. Szerencsére a Teams webes alkalmazás robusztus, és támogatja az asztali kliens által engedélyezett legtöbb funkciót, így minimálisra csökkentve a szervezet termelékenységére gyakorolt hatásokat.
Miután a Microsoft frissítette az Electron Teams alkalmazásokat, továbbra is kritikus fontosságú, hogy a Teams alkalmazások, botok, konnektorok stb. jogosulatlan telepítésének megakadályozására a magas korlátozási modellre térjen át.
A Linux-felhasználók számára ez a javasolt út teljes mértékben ajánlott, mivel a Microsoft bejelentette, hogy a Teams for Linux életciklusa 2022 decemberében lejár.
Fájl-hozzáférés nyomon követése
Hozzon létre egy rendszerfigyelési szabályt az érzékeny fájlokhoz hozzáférő folyamatok azonosítására. Két konkrét fájl és mappa ajánlás van:
- Windows
- %AppData%\Microsoft\Teams\Cookies
- %AppData%\Microsoft\Teams\Local Storage\leveldb
- macOS
- ~/Library/Application Support/Microsoft/Teams/Cookies
- ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
- Linux
- ~/.config/Microsoft/Microsoft Teams/Cookies
- ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb
Ha a Teams alkalmazáson kívül más folyamat is hozzáfér ezekhez a fájlokhoz, az azt jelzi, hogy a tárolt adatokhoz, így a bejelentkezési tokenhez a Teams alkalmazáson kívül próbáltak meg hozzáférést szerezni.
A fejlesztőknek - más Elektron alkalmazások esetén
Ha az Electron futtató keretrendszert kell használnia az alkalmazásához, gondoskodjon az OAuth-tokenek biztonságos tárolásáról. A titkok tárolásának egyik ilyen módszere a KeyTar csomag használata, amely a helyi operációs rendszer biztonsági mechanizmusait használja a titkok kezeléséhez.
How to securely store sensitive information in Electron with node-keytar | Cameron Nokes | Medium
(forrás)
