Microsoft Teams archivia i token di autenticazione come testo non crittografato in Windows, Linux, Mac !!!
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 15 Settembre 2022
Tags: #sicurezza, #teams, #vulnerabilita
Tags: #sicurezza, #teams, #vulnerabilita
*Microsoft Teams archivia i token di autenticazione come testo non crittografato in Windows, Linux, Mac*
Gli analisti della sicurezza hanno riscontrato una grave vulnerabilità della sicurezza nell'app desktop per Microsoft Teams che consente agli attori delle minacce di accedere ai token di autenticazione e agli account con l'autenticazione a più fattori (MFA) attivata.
Microsoft Teams è una piattaforma di comunicazione, inclusa nella famiglia di prodotti 365, utilizzata da oltre 270 milioni di persone per lo scambio di messaggi di testo, le videoconferenze e l'archiviazione di file.
Il problema di sicurezza appena scoperto interessa le versioni dell'applicazione per Windows, Linux e Mac e fa riferimento a Microsoft Teams che archivia i token di autenticazione degli utenti in chiaro senza proteggerne l'accesso.
Un utente malintenzionato con accesso locale su un sistema in cui è installato Microsoft Teams potrebbe rubare i token e utilizzarli per accedere all'account della vittima.
"Questo attacco non richiede autorizzazioni speciali o malware avanzato per farla franca con gravi danni interni", spiega Connor Peoples della società di sicurezza informatica Vectra in un rapporto di questa settimana.
Il ricercatore aggiunge che assumendo "il controllo di sedi critiche, come il capo dell'ingegneria, il CEO o il CFO di un'azienda, gli aggressori possono convincere gli utenti a svolgere attività dannose per l'organizzazione".
I ricercatori Vectra hanno scoperto il problema nell'agosto 2022 e lo hanno segnalato a Microsoft. Tuttavia, Microsoft non era d'accordo sulla gravità del problema e ha affermato che non soddisfa i criteri per l'applicazione delle patch.
Dettagli del problema
Microsoft Teams è un'app Electron, il che significa che viene eseguita in una finestra del browser, completa di tutti gli elementi richiesti da una normale pagina Web (cookie, stringhe di sessione, log, ecc.).
Electron non supporta la crittografia o le posizioni dei file protette per impostazione predefinita, quindi sebbene il framework del software sia versatile e facile da usare, non è considerato sufficientemente sicuro per lo sviluppo di prodotti mission-critical a meno che non venga applicata un'ampia personalizzazione e lavoro aggiuntivo.
Vectra ha analizzato Microsoft Teams mentre cercava di trovare un modo per rimuovere gli account disattivati dalle app client e ha trovato un file ldb con token di accesso in chiaro.
"Dopo la revisione, è stato stabilito che questi token di accesso erano attivi e non un dump accidentale di un errore precedente. Questi token di accesso ci hanno consentito di accedere alle API di Outlook e Skype". - Vectra
Inoltre, gli analisti hanno scoperto che la cartella "Cookie" conteneva anche token di autenticazione validi, insieme a informazioni sull'account, dati di sessione e tag di marketing.
Infine, Vectra ha sviluppato un exploit abusando di una chiamata API che consente di inviare messaggi a se stessi. Utilizzando il motore SQLite per leggere il database dei cookie, i ricercatori hanno ricevuto i token di autenticazione come messaggio nella loro finestra di chat.
La preoccupazione più grande è che questo difetto venga abusato da malware per il furto di informazioni che è diventato uno dei paylod più comunemente distribuiti nelle campagne di phishing.
Utilizzando questo tipo di malware, gli attori delle minacce potranno rubare i token di autenticazione di Microsoft Teams e accedere in remoto come utente, ignorando l'autenticazione a più fattori e ottenendo l'accesso completo all'account.
I ladri di informazioni lo stanno già facendo per altre applicazioni, come Google Chrome, Microsoft Edge, Mozilla Firefox, Discord e molti altri.
Con una patch che difficilmente verrà rilasciata, la raccomandazione di Vectra è che gli utenti passino alla versione browser del client Microsoft Teams. Utilizzando Microsoft Edge per caricare l'app, gli utenti beneficiano di protezioni aggiuntive contro le perdite di token.
I ricercatori consigliano agli utenti Linux di passare a una suite di collaborazione diversa, soprattutto da quando Microsoft ha annunciato l'intenzione di interrompere il supporto dell'app per la piattaforma entro dicembre.
Per coloro che non possono passare immediatamente a una soluzione diversa, possono creare una regola di monitoraggio per rilevare i processi che accedono alle seguenti directory:
[Windows] %AppData%\Microsoft\Teams\Cookie
[Windows] %AppData%\Microsoft\Teams\Archiviazione locale\leveldb
[macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
[macOS] ~/Libreria/Supporto applicazioni/Microsoft/Teams/Archiviazione locale/leveldb
[Linux] ~/.config/Microsoft/Microsoft Teams/Cookie
[Linux] ~/.config/Microsoft/Microsoft Teams/Archiviazione locale/leveldb
BleepingComputer ha contattato Microsoft in merito ai piani dell'azienda per il rilascio di una correzione per il problema e aggiornerà l'articolo quando avremo una risposta.
Aggiornamento 14/9/22
Un portavoce di Microsoft ci ha inviato il seguente commento in merito ai risultati di Vectra:
La tecnica descritta non soddisfa la nostra barra per l'assistenza immediata poiché richiede che un utente malintenzionato ottenga prima l'accesso a una rete di destinazione.
Apprezziamo la partnership di Vectra Protect nell'identificare e divulgare responsabilmente questo problema e prenderemo in considerazione l'idea di affrontare il problema in un futuro rilascio di prodotti