Pesquisadores da empresa de segurança cibernética Vectra emitiram um aviso de que o Microsoft Teams armazena tokens de autenticação de forma desprotegida, uma falha que pode ser facilmente usada por hackers. Todos os aplicativos de desktop para Windows, macOS e Linux armazenam tokens de autenticação em texto não criptografado, e isso pode ser usado por um invasor para roubar uma identidade e fazer login em contas. Assim, o aplicativo Microsoft Teams para Windows, macOS e Linux armazena tokens de autenticação de forma insegura.
Isso é claramente preocupante, mas o mais preocupante é a reação da Microsoft; a empresa diz que o problema não requer “manutenção imediata”.
Microsoft Teams para Windows, macOS e Linux armazena tokens de autenticação de forma insegura em texto simples desprotegido
O problema foi descoberto no mês passado por pesquisadores da equipe Protect da Vectra. Descrito como um “caminho de ataque que permite que atores mal-intencionados com acesso ao sistema de arquivos roubem credenciais para qualquer usuário do Microsoft Teams conectado”, o ataque pode ser executado sem a necessidade de privilégios elevados.
O problema decorre do fato de que o Teams é um aplicativo baseado em Electron e não há suporte para criptografia.
Escrevendo sobre suas descobertas, a Vectra diz:
Nossa pesquisa descobriu que o aplicativo Microsoft Teams armazena tokens de autenticação em texto simples. Com esses tokens, os invasores podem assumir a identidade do titular do token para quaisquer ações possíveis por meio do cliente do Microsoft Teams, incluindo o uso desse token para acessar as funções da API do Microsoft Graph a partir do sistema de um invasor. Pior ainda, esses tokens roubados permitem que os invasores realizem ações contra contas habilitadas para MFA, criando um desvio de MFA.
A Microsoft está ciente desse problema e encerrou o caso afirmando que não atendeu à exigência de manutenção imediata. Até que a Microsoft mude para atualizar o aplicativo Teams Desktop, acreditamos que os clientes devem considerar o uso exclusivo do aplicativo Teams baseado na Web. Para clientes que precisam usar o aplicativo de desktop instalado, é fundamental observar os principais arquivos do aplicativo para acesso por qualquer processo que não seja o aplicativo oficial do Teams.
Como a Microsoft não tem pressa em corrigir o problema potencialmente muito sério, o conselho da Vectra é claro – pare de usar o aplicativo Teams:
Não recomendamos usar o cliente completo do Microsoft Teams até que a Microsoft corrija esse problema de forma eficaz. Use o cliente do Teams baseado na Web dentro do Microsoft Edge, que tem vários controles no nível do sistema operacional para proteger vazamentos de token. Felizmente, o aplicativo Web do Teams é robusto e oferece suporte à maioria dos recursos habilitados por meio do cliente de desktop, reduzindo ao mínimo os impactos na produtividade da organização.
Depois que a Microsoft atualizar os aplicativos do Electron Teams, ainda é essencial mudar para um modelo de alta restrição para impedir a instalação de aplicativos do Teams, bots, conectores etc. não autorizados.
Para usuários do Linux, este é o caminho recomendado, pois a Microsoft anunciou o fim da vida útil do Teams for Linux até dezembro de 2022.
Você pode ler mais detalhes da vulnerabilidade de segurança na postagem do blog da Vectra.