研究人员声称,MicrosoftTeams中存在一个安全漏洞,允许攻击者登录其他人的帐户,即使这些帐户受到多因素身份验证的保护。Vectra的网络安全分析师表示,适用于Windows、Linux和Mac的Teams桌面应用程序以明文形式存储用户身份验证令牌,没有任何锁保护访问。任何对安装了Teams的系统具有本地访问权限的人都可以窃取这些令牌并使用它们登录帐户。
Vectra的ConnorPeoples说:“这种攻击不需要特殊权限或高级恶意软件就可以摆脱重大的内部损害。”另一方面,微软表示,整个交易被夸大了,它对解决这个问题不感兴趣此时。
问题在于MicrosoftTeams是一个Electron应用程序,在浏览器窗口中运行。由于Electron默认不支持加密或受保护的文件位置,因此它更易于使用,但在数据保护方面也存在风险。更深入的分析发现,令牌没有错误地存储,也没有作为先前数据转储的一部分。
“经过审查,确定这些访问令牌是活动的,而不是意外转储以前的错误。这些访问令牌使我们能够访问Outlook和SkypeAPI,”Vectra解释说。此外,“cookies”文件夹还保存着令牌、帐户信息、会话数据和其他有价值的信息。
但微软淡化了整件事,说它没有那么严重,而且不符合修补的标准。
在发送给BleepingComputer的一份声明中,微软表示:“所描述的技术不符合我们的即时服务标准,因为它需要攻击者首先获得对目标网络的访问权限。我们感谢VectraProtect在识别和负责任地披露此问题方面的合作,并将考虑在未来的产品发布中解决。”
另一方面,Vectra不同意,为了证明这一点,它开发了一个滥用API调用的漏洞,允许用户向自己发送消息。通过SQLite引擎读取cookie数据库,该漏洞利用能够在消息中接收身份验证令牌。
如果您担心您的业务(在新标签中打开)Vectra建议,如果它的令牌被抢走,你应该切换到Teams客户端的浏览器版本。Linux用户应该迁移到不同的协作(在新标签中打开)平台,也是。