ΡΟΗ ΕΙΔΗΣΕΩΝ
MENOY
ΤΕΧΝΟΛΟΓΙΑ

Bug του Microsoft Teams επιτρέπει στους hackers να κλέβουν λογαριασμούς

0

 Ένα σημαντικό πρόβλημα ασφαλείας στο Microsoft Teams επιτρέπει σε κακόβουλους χρήστες να συνδεθούν σε λογαριασμούς άλλων ατόμων, ακόμη και αν οι λογαριασμοί αυτοί προστατεύονται με έλεγχο ταυτότητας πολλαπλών παραγόντων (2FA), σύμφωνα με ερευνητές.  

Οι αναλυτές κυβερνοασφάλειας της Vectra αναφέρουν ότι η desktop εφαρμογή του Teams για Windows, Linux και Mac, αποθηκεύει τα tokens ελέγχου ταυτότητας των χρηστών σε μορφή απλού κειμένου, χωρίς να υπάρχει κάποιος προστατευτικός μηχανισμός να αποτρέψει την κακόβουλη πρόσβαση. Οποιοσδήποτε έχει τοπική πρόσβαση σε ένα σύστημα με εγκατεστημένο το Teams μπορεί να κλέψει αυτά τα tokens και να τα χρησιμοποιήσει για να συνδεθεί στους λογαριασμούς.

«Η επίθεση αυτή δεν απαιτεί ειδικά δικαιώματα ή προηγμένο κακόβουλο λογισμικό για να προκαλέσει μεγάλες ζημιές σε μια εταιρεία", δήλωσε ο Connor Peoples της Vectra - η Microsoft, από την άλλη πλευρά, δηλώνει ότι η όλη υπόθεση είναι υπερβολική και ότι δεν προτίθεται να αντιμετωπίσει το θέμα προς το παρόν.

Το πρόβλημα έγκειται στο γεγονός ότι το Microsoft Teams είναι μια εφαρμογή Electron, η οποία εκτελείται σε παράθυρο browser. Καθώς το Electron δεν διαθέτει υποστήριξη για κρυπτογράφηση ή προστατευμένες τοποθεσίες αρχείων από προεπιλογή, είναι σίγουρα πιο εύκολο στη χρήση αλλά και επικίνδυνο σε ότι αφορά την προστασία δεδομένων. Η έρευνα αποκάλυψε επίσης αποκάλυψε ότι τα tokens δεν είχαν αποθηκευτεί κατά λάθος ή ως μέρος ενός προηγούμενου data bump.

«Κατά την επανεξέταση, διαπιστώθηκε ότι access tokens ήταν ενεργά και δεν αποτελούσαν τυχαία απόρριψη ενός προηγούμενου σφάλματος. Αυτά τα tokens μας έδωσαν πρόσβαση στα API του Outlook και του Skype", εξήγησε η Vectra. Επιπλέον, ο φάκελος "cookies" περιείχε tokens, πληροφορίες λογαριασμού, δεδομένα από sessions και άλλες πολύτιμες πληροφορίες.

Όπως αναφέραμε, η Microsoft υποβαθμίζει το όλο θέμα, αναφέροντας ότι δεν είναι τόσο σοβαρό και ότι δεν πληροί τα κριτήρια για επιδιόρθωση. Σε μια δήλωση που στάλθηκε στο BleepingComputer, η Microsoft αναφέρει ότι «η τεχνική που περιγράφεται δεν πληροί τα κριτήριά μας για άμεση επιδιόρθωση, καθώς απαιτεί από έναν εισβολέα να αποκτήσει πρώτα πρόσβαση σε ένα δίκτυο-στόχο. Εκτιμούμε τη συνεργασία της Vectra Protect για τον εντοπισμό και την υπεύθυνη αποκάλυψη αυτού του ζητήματος και θα εξετάσουμε το ενδεχόμενο αντιμετώπισης σε μελλοντική έκδοση της εφαρμογής».

Η Vectra, από την άλλη πλευρά, διαφωνεί και για να στηρίξει την άποψή της, ανέπτυξε ένα exploit που κάνει κατάχρηση μιας κλήσης API, επιτρέποντας σε έναν χρήστη να στέλνει μηνύματα στον εαυτό του. Διαβάζοντας τη βάση δεδομένων των cookies μέσω της μηχανής SQLite, το exploit ήταν σε θέση να λάβει τα tokens ελέγχου ταυτότητας σε ένα απλό μήνυμα.

Η Vectra προτείνει στις επιχειρήσεις να επιλέγουν τη χρήση του Teams μέσω browser ενώ οι χρήστες Linux θα πρέπει να επιλέξουν μια διαφορετική πλατφόρμα συνεργασίας.

insomnia.gr

 

 

0

ΣΧΕΤΙΚΑ ΑΡΘΡΑ