Μια ευπάθεια Microsoft Teams που επηρεάζει όλους τους χρήστες της υπηρεσίας που χρησιμοποιούν την εφαρμογή σε Windows, Mac ή Linux.
Microsoft Teams είναι μια ολοκληρωμένη πλατφόρμα πακέτων Microsoft 365. Η υπηρεσία χρησιμοποιείται παγκοσμίως από σχεδόν 300 εκατομμύρια χρήστες για τηλεδιάσκεψη, φωνητικές κλήσεις, μηνύματα κειμένου και αποθηκευμένα/κοινή χρήση αρχείων. Υποτίθεται ότι χρησιμοποιείται ειδικά για επιχειρήσεις και γραφείο Microsoft Teams για Windows, Linux si Mac θα πρέπει να έχει ένα πρότυπο ασφαλείας σχετικό με τους τρέχοντες χρόνους. Ωστόσο, φαίνεται ότι για τη Microsoft η κρυπτογράφηση είναι μικρής σημασίας.
Τον Αύγουστο (2022), μια ομάδα αναλυτών ασφαλείας ανακάλυψε α τρωτό Microsoft Teams που προφανώς η Microsoft δεν έχει περιπλέξει να λύσει μέχρι αυτή τη στιγμή.
τρωτό Microsoft Teams – Το μη κρυπτογραφημένο διακριτικό ελέγχου ταυτότητας
Το πρόβλημα ασφαλείας που ανακαλύφθηκε συνίσταται στην μη κρυπτογραφημένη αποθήκευση των διακριτικών ελέγχου ταυτότητας στην εφαρμογή Microsoft Teams για Windows, Mac si Linux. Πιο ακριβώς user authentication tokens διατηρούνται μέσα cleartext.
Αυτό σημαίνει ότι εάν ένας εισβολέας έχει πρόσβαση σε έναν υπολογιστή στον οποίο είναι εγκατεστημένος Microsoft Teams, θα μπορεί να λάβει τα διαπιστευτήρια ελέγχου ταυτότητας από την εφαρμογή και να συνδεθεί στον λογαριασμό του θύματος. Επιπλέον, ο εισβολέας διασφαλίζει την πρόσβαση σε Microsoft Graph API ακόμα κι αν ο λογαριασμός προστατεύεται με MFA (Multi-factor authentication). Δεν απαιτούνται προηγμένα κακόβουλα προγράμματα ή ειδικά δικαιώματα για την πρόσβαση σε αρχεία που περιέχουν διακριτικά ελέγχου ταυτότητας.
Αυτή η ευπάθεια (αν μπορώ να την ονομάσω έτσι) μπορεί να επηρεάσει πολλές εταιρείες σε όλο τον κόσμο. Επί Microsoft Teams υπάρχουν επαγγελματικές συνομιλίες, συναντήσεις εντός οργανισμών, συνεδρίες ομαδικής εργασίας, πραγματοποιούνται συνεντεύξεις εργασίας και αποστέλλονται εμπιστευτικά δεδομένα.
Το πιο ανησυχητικό είναι ότι αυτό το πρόβλημα αναφέρθηκε από Connor Peoples (αναλυτής κυβερνοασφάλειας) από τον Αύγουστο του 2022 και μέχρι τώρα (μισό Σεπτεμβρίου 2022) η Microsoft δεν έχει προβεί σε καμία ενέργεια.
Μέχρι η Microsoft να επιλύσει αυτό το θέμα ευπάθειας Microsoft Teams, οι χρήστες μπορούν να προστατευτούν χρησιμοποιώντας την web έκδοση της εφαρμογής.
Το 2022, διατηρώντας ευαίσθητα δεδομένα σε καθαρό κείμενο, ακόμα περισσότερα διακριτικά ελέγχου ταυτότητας, μου φαίνεται ότι η Microsoft χρησιμοποιεί τις τεχνικές της δεκαετίας του '90 όταν Yahoo! Messenger επικολλήστε τοπικές συνομιλίες σε μορφή κειμένου. Η Microsoft έρχεται με κάτι επιπλέον. Διατηρήστε τα δεδομένα ελέγχου ταυτότητας.
