Microsoft Teams almacena códigos de autenticación de texto claro y no se depurarán rápidamente

Microsoft Teams almacena códigos de autenticación de texto claro y no se depurarán rápidamente
Zoom / Usar Teams en el navegador es más seguro que usar las aplicaciones de escritorio de Microsoft, que se envuelven alrededor del navegador. Hay mucho por trabajar.

El cliente Teams de Microsoft almacena los códigos de autenticación de los usuarios en un formato de texto sin protección, lo que podría permitir a los atacantes con acceso local difundir mensajes y moverse horizontalmente por la organización, incluso con la autenticación de dos factores habilitada, según la firma de ciberseguridad.

Vectra recomienda evitar el cliente de escritorio de Microsoft, que está construido con el marco Electron para crear aplicaciones a partir de tecnologías de navegador, hasta que Microsoft corrija el error. Usar el cliente de Teams basado en la web dentro de un navegador como Microsoft Edge es, hasta cierto punto, más seguro, afirma Vectra. El problema informado afecta a los usuarios de Windows, Mac y Linux.

Por su parte, Microsoft cree que el exploit Vectra «no cumple con nuestros criterios para los servicios en línea» porque, en primer lugar, requeriría otras vulnerabilidades para ingresar a la red. Un portavoz de Dark Reading dijo. que la compañía «considerará abordar (el problema) en un futuro lanzamiento del producto».

Investigadores de Vectra Descubra la vulnerabilidad mientras ayuda a un cliente que intenta eliminar una cuenta deshabilitada de la configuración de sus equipos. Microsoft requiere que los usuarios inicien sesión para ser eliminados, por lo que Vectra miró los datos de configuración de la cuenta local. Procedieron a eliminar las referencias a la cuenta iniciada. Lo que encontraron en cambio, al buscar el nombre de usuario en los archivos de la aplicación, fueron íconos, que son obvios, que brindan acceso a Skype y Outlook. Cada token encontrado estaba activo y podía otorgar acceso sin desafiar dos factores.

READ  El iPad 2021 de Apple cae a $ 299 en Amazon

En el futuro, crearon un exploit de prueba de concepto. Su versión descarga el motor SQLite en una carpeta local, lo usa para escanear el almacenamiento local de Teams en busca del token de autenticación y luego envía al usuario un mensaje de alta prioridad con el texto del token. Las posibles consecuencias de este exploit son mayores que el phishing de algunos usuarios con sus códigos privados, por supuesto:

Cualquiera que instale y use el cliente de Microsoft Teams en este caso almacena las credenciales necesarias para realizar cualquier acción posible a través de la interfaz de usuario de Teams, incluso cuando Teams está apagado. Esto permite a los atacantes modificar archivos de SharePoint, correo de Outlook, calendarios y archivos de chat de Teams. Aún más dañino, los atacantes pueden alterar las comunicaciones legítimas dentro de una organización mediante la destrucción selectiva, el contrabando o la participación en ataques de phishing dirigidos. En este punto, no hay límite para la capacidad de un atacante de navegar a través de su entorno corporativo.

Vectra señala que navegar a través del acceso de los usuarios a Teams es un beneficio particularmente importante para los ataques de phishing, donde los actores maliciosos pueden hacerse pasar por directores ejecutivos u otros directores ejecutivos y buscar acciones y clics de empleados de nivel inferior. Es una estrategia conocida como Business Email Compromise (BEC); Puedes leer sobre eso En el blog de Microsoft Sobre los problemas.

Se ha descubierto que las aplicaciones de electrones tienen problemas de seguridad profundos antes. La presentación de 2019 mostró cómo se pueden usar las vulnerabilidades del navegador Inyección de código en Skype, Slack, WhatsApp y otras aplicaciones de Electron. Se ha encontrado la aplicación de WhatsApp de escritorio de Electron Otro punto débil en 2020que brinda acceso a archivos locales a través de JavaScript incrustado en los mensajes.

READ  ¿Habrá un Nintendo Direct de junio de 2023?

Nos comunicamos con Microsoft para obtener comentarios y actualizaremos esta publicación si recibimos una respuesta.

Vectra recomienda que los desarrolladores, si «deben usar Electron para su aplicación», almacenen tokens OAuth de forma segura utilizando herramientas como KeyTar. Connor Peoples, un ingeniero de seguridad de Vectra, le dijo a Dark Reading que cree que Microsoft se está alejando de Electron y avanzando hacia aplicaciones web progresivas, que brindarán una mejor seguridad a nivel del sistema operativo en torno a las cookies y el almacenamiento.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *