Bezpečnostní analytici objevili v desktopové aplikaci Microsoft Teams závažnou chybu, která dovoluje útočníkům získat přístup k ověřovacím tokenům a účtům i v případech, kdy si uživatel aktivoval vícefaktorové ověřování, informuje web Bleeping Computer.
Nově objevený bezpečnostní problém se týká desktopové aplikace pro operační systémy Windows, Linux a macOS. Jeho podstata spočívá v tom, že Microsoft Teams ukládá autentizační tokeny uživatelů v podobě čistého textu, aniž by jakkoli chránil přístup k nim.
Bezpečnostní díra v MS Teams
Hned v úvodu je nutné konstatovat, že případné provedení útoku se zneužitím tohoto nedostatku není úplně triviální. Útočník totiž musí získat (byť vzdálený) přístup k počítači, což může realizovat například prostřednictvím malwaru. Poté může ukrást tokeny a použít je k přihlášení k účtu oběti.
„Tento útok nevyžaduje speciální oprávnění ani pokročilý malware,“ vysvětluje ve zprávě z tohoto týdne Connor Peoples ze společnosti Vectra, která se zabývá kybernetickou bezpečností. „Po přezkoumání se ukázalo, že tyto přístupové tokeny byly aktivní a nešlo o náhodný výpis předchozí chyby,“ vysvětlil a dodal, že „Tyto autentizační tokeny nám umožnily přístup k rozhraním API aplikací Outlook a Skype.“
Bezpečnostní experti z Vectry našli při hledání způsobu, jak odstranit deaktivované účty z klientských aplikací, soubor ldb. Dle jejich zjištění obsahoval přístupové tokeny ve formátu čistého textu. Kromě toho zjistili, že složka Cookies taktéž obsahuje platné ověřovací tokeny, informace o účtu a údaje o relaci.
Nakonec vyvinuli exploit zneužívající volání aplikačního rozhraní (API), jež umožňuje odesílat zprávy sobě samému. Pomocí nástroje pro čtení databáze souborů cookie obdrželi autentizační tokeny jako zprávu v okně chatu. Touto cestou mohou útočníci ukrást autentizační tokeny Microsoft Teams a přihlásit se jako uživatel, obejít vícefaktorové ověření a získat tak plný přístup k účtu.
Chybu nahlásili, Microsoft nesouhlasil
Connor Peoples varuje, že převzetím „kontroly nad kritickými místy – jako je vedoucí technického oddělení firmy, generální ředitel nebo finanční ředitel – mohou útočníci přesvědčit uživatele, aby provedli úkoly poškozující organizaci“. To se jeví jako dobrý scénář například pro ransomwarové útoky cílené na konkrétní firmy.
Experti problém objevili v srpnu 2022 a nahlásili jej Microsoftu. Ten však nesouhlasil s uvedenou závažností a konstatoval, že nesplňuje kritéria pro vydání bezpečnostní záplaty. Nevyloučil však možné řešení v rámci běžných aktualizací.
„Popsaná technika nesplňuje naše požadavky na okamžitou podporu, protože vyžaduje, aby útočník nejprve získal přístup do cílové sítě.“ uvedl tiskový mluvčí Microsoftu. „Oceňujeme spolupráci společnosti Vectra Protect při identifikaci a odpovědném zveřejnění tohoto problému a zvážíme jeho řešení v některé z budoucích verzí produktu.“
Desktopový klient Microsoft Teams funguje jako aplikace Electron, což znamená, že běží v okně prohlížeče se všemi prvky, které vyžaduje běžná webová stránka (soubory cookie, řetězce relací, protokoly atd.). Electron ve výchozím nastavení nepodporuje šifrování ani chráněné umístění souborů, takže ačkoli je tento framework univerzální a snadno použitelný, není považován za dostatečně bezpečný pro vývoj kritických produktů.