zranitelnost Microsoft Teams – Ověřovací tokeny v čistém textu (2022)

Zranitelnost Microsoft Teams což ovlivňuje všechny uživatele služby, kteří aplikaci používají na Windows, Mac nebo Linux.

Microsoft Teams je integrovaná balíková platforma Microsoft 365. Službu celosvětově využívá téměř 300 milionů uživatelů pro videokonference, hlasové hovory, textové zprávy a sdílení uložených/souborů. Používá se zejména pro podnikání a office se předpokládá, že Microsoft Teams pro Windows, Linux si Mac měl by mít bezpečnostní standard odpovídající současné době. Zdá se však, že pro Microsoft je šifrování málo důležité.

V srpnu (2022) tým bezpečnostních analytiků objevil a zranitelnost Microsoft Teams který zřejmě Microsoft do této chvíle nekomplikoval vyřešit.

zranitelnost Microsoft Teams – Nešifrovaný ověřovací token

Zjištěný bezpečnostní problém spočívá v nešifrovaném uložení autentizačních tokenů v aplikaci Microsoft Teams pro Windows, Mac si Linux. Přesněji user authentication tokens jsou uchovávány v cleartext.

To znamená, že pokud má útočník přístup k počítači, na kterém je nainstalován Microsoft Teams, bude moci vzít ověřovací údaje z aplikace a připojit se k účtu oběti. Útočník navíc zajišťuje přístup k Microsoft Graph API i když je účet chráněn MFA (Multi-factor authentication). Pro přístup k souborům obsahujícím ověřovací tokeny nejsou potřeba žádné pokročilé malware ani speciální oprávnění.

• Office 365 dostane Microsoft 365 včetně Microsoft Teamu
• Další chyba objevena v Javě
• Nová kritická zranitelnost na internetu Explorer systémy ohrožení Windows
• Zranitelnost v roce 2007 Windows OS (32bit), 17 let
• Kritická zranitelnost objevená ve WooCommerce - miliony online obchodů mohly být kompromitovány

Tato zranitelnost (pokud to tak mohu nazvat) může ovlivnit mnoho společností po celém světě. Na Microsoft Teams probíhají obchodní rozhovory, jednání v rámci organizací, týmová pracovní setkání, pracovní pohovory a zasílají se důvěrné údaje.

Nejznepokojivější částí je, že tento problém nahlásil Connor Peoples (analytik kybernetické bezpečnosti) od srpna 2022 a až dosud (polovina září 2022) společnost Microsoft nepodnikla žádné kroky.

Dokud Microsoft tuto chybu zabezpečení nevyřeší Microsoft Teams, uživatelé se mohou chránit pomocí webové verze aplikace.

V roce 2022 se mi při uchovávání citlivých dat v čistém textu, ještě více ověřovacích tokenů, zdá, že Microsoft používá techniky 90. Yahoo! Messenger vložit místní konverzace v textovém formátu. Microsoft přichází s něčím navíc. Uchovávejte autentizační údaje.