zranitelnost Microsoft Teams – Ověřovací tokeny v čistém textu (2022)

Zranitelnost Microsoft Teams což ovlivňuje všechny uživatele služby, kteří aplikaci používají na Windows, Mac nebo Linux.

Microsoft Teams je integrovaná balíková platforma Microsoft 365. Službu celosvětově využívá téměř 300 milionů uživatelů pro videokonference, hlasové hovory, textové zprávy a sdílení uložených/souborů. Předpokládá se využití zejména pro obchod a kanceláře Microsoft Teams pro Windows, Linux si Mac měl by mít bezpečnostní standard odpovídající současné době. Zdá se však, že pro Microsoft je šifrování málo důležité.


V srpnu (2022) tým bezpečnostních analytiků objevil a zranitelnost Microsoft Teams který zřejmě Microsoft do této chvíle nekomplikoval vyřešit.

zranitelnost Microsoft Teams – Nešifrovaný ověřovací token

Zjištěný bezpečnostní problém spočívá v nešifrovaném uložení autentizačních tokenů v aplikaci Microsoft Teams pro Windows, Mac si Linux. Přesněji user authentication tokens jsou uchovávány v cleartext.

zranitelnost Microsoft Teams - Ověřovací tokeny v čistém textu (2022)
zranitelnost Microsoft Teams

To znamená, že pokud má útočník přístup k počítači, na kterém je nainstalován Microsoft Teams, bude moci vzít ověřovací údaje z aplikace a připojit se k účtu oběti. Útočník navíc zajišťuje přístup k Microsoft Graph API i když je účet chráněn MFA (Multi-factor authentication). Pro přístup k souborům obsahujícím ověřovací tokeny nejsou potřeba žádné pokročilé malware ani speciální oprávnění.

Tato zranitelnost (pokud to tak mohu nazvat) může ovlivnit mnoho společností po celém světě. Na Microsoft Teams probíhají obchodní rozhovory, jednání v rámci organizací, týmová pracovní setkání, pracovní pohovory a zasílají se důvěrné údaje.

Nejznepokojivější částí je, že tento problém nahlásil Connor Peoples (analytik kybernetické bezpečnosti) od srpna 2022 a až dosud (polovina září 2022) společnost Microsoft nepodnikla žádné kroky.

Dokud Microsoft tuto chybu zabezpečení nevyřeší Microsoft Teams, uživatelé se mohou chránit pomocí webové verze aplikace.

V roce 2022 se mi při uchovávání citlivých dat v čistém textu, ještě více ověřovacích tokenů, zdá, že Microsoft používá techniky 90. Yahoo! Messenger vložit místní konverzace v textovém formátu. Microsoft přichází s něčím navíc. Uchovávejte autentizační údaje.

Věnovaný technologiím, s radostí píši na StealthSettings.com od roku 2006. Mám bohaté zkušenosti s operačními systémy: macOS, Windows a Linux, stejně jako s programovacími jazyky a platformami pro blogování (WordPress) a pro online obchody (WooCommerce, Magento, PrestaShop).

jak na to » AntiVirus a zabezpečení » zranitelnost Microsoft Teams – Ověřovací tokeny v čistém textu (2022)
Zanechat komentář