Hay una falla de seguridad en Microsoft Teams que permite a los actores de amenazas iniciar sesión en las cuentas de otras personas, incluso si esas cuentas están protegidas con autenticación de múltiples factores, afirman los investigadores.
Los analistas de seguridad cibernética de Vectra dicen que la aplicación de escritorio Teams para Windows, Linux y Mac almacena tokens de autenticación de usuario en texto sin cifrar, sin bloqueos que protejan el acceso. Cualquiera con acceso local a un sistema con Teams instalado puede robar estos tokens y usarlos para iniciar sesión en las cuentas.
«Este ataque no requiere permisos especiales o malware avanzado para salirse con la suya con daños internos importantes», dijo Connor Peoples de Vectra. Microsoft, por otro lado, dice que todo el asunto está fuera de proporción y que no está interesado en abordar el problema. en este momento.
fichas activas
El problema radica en el hecho de que Microsoft Teams es una aplicación de Electron, que se ejecuta en las ventanas de un navegador. Como Electron no viene con soporte para cifrado o ubicaciones de archivos protegidas de forma predeterminada, es un poco más fácil de usar, pero también arriesgado en el lado de la protección de datos. Un análisis más profundo descubrió que los tokens no se almacenaron por error o como parte de un volcado de datos anterior.
«Luego de la revisión, se determinó que estos tokens de acceso estaban activos y no un volcado accidental de un error anterior. Estos tokens de acceso nos dieron acceso a las API de Outlook y Skype», explicó Vectra. Además, la carpeta «cookies» también contenía tokens, información de cuenta, datos de sesión y otra información valiosa.
Pero Microsoft restó importancia a todo el asunto, diciendo que no es tan grave y que no cumple con los criterios para parchear.
En un comunicado enviado a BleepingEquipo, Microsoft dijo: “La técnica descrita no cumple con nuestro estándar de servicio inmediato, ya que requiere que un atacante primero obtenga acceso a una red de destino. Agradecemos la asociación de Vectra Protect para identificar y divulgar responsablemente este problema y consideraremos abordarlo en una futura versión del producto”.
Vectra, por otro lado, no está de acuerdo y, para probar su punto, desarrolló un exploit que abusa de una llamada API, lo que permite que un usuario se envíe mensajes a sí mismo. Al leer la base de datos de cookies a través del motor SQLite, el exploit pudo recibir los tokens de autenticación en un mensaje.
Si te preocupa tu negocio (se abre en una pestaña nueva) si le arrebatan sus tokens, debe cambiar a la versión del navegador del cliente de Teams, sugiere Vectra. Los usuarios de Linux deberían migrar a una colaboración diferente (se abre en una pestaña nueva) plataforma, también.
- Estos son los mejores VoIP (se abre en una pestaña nueva) soluciones ahora mismo
Vía: BleepingComputer (se abre en una pestaña nueva)