Microsoft Teams para Windows, macOS e Linux armazena tokens de autenticação de forma insegura

Microsoft Teams para Windows, macOS e Linux armazena tokens de autenticação de forma insegura em texto simples desprotegido
Microsoft Teams tem bug antigo que permite phishing

Pesquisadores da empresa de segurança cibernética Vectra emitiram um aviso de que o Microsoft Teams armazena tokens de autenticação de forma desprotegida, uma falha que pode ser facilmente usada por hackers. Todos os aplicativos de desktop para Windows, macOS e Linux armazenam tokens de autenticação em texto não criptografado, e isso pode ser usado por um invasor para roubar uma identidade e fazer login em contas. Assim, o aplicativo Microsoft Teams para Windows, macOS e Linux armazena tokens de autenticação de forma insegura.

Isso é claramente preocupante, mas o mais preocupante é a reação da Microsoft; a empresa diz que o problema não requer “manutenção imediata”.

Microsoft Teams para Windows, macOS e Linux armazena tokens de autenticação de forma insegura em texto simples desprotegido

O problema foi descoberto no mês passado por pesquisadores da equipe Protect da Vectra. Descrito como um “caminho de ataque que permite que atores mal-intencionados com acesso ao sistema de arquivos roubem credenciais para qualquer usuário do Microsoft Teams conectado”, o ataque pode ser executado sem a necessidade de privilégios elevados.

O problema decorre do fato de que o Teams é um aplicativo baseado em Electron e não há suporte para criptografia.

Escrevendo sobre suas descobertas, a Vectra diz:

Microsoft Teams para Windows, macOS e Linux armazena tokens de autenticação de forma insegura em texto simples desprotegido
Microsoft Teams para Windows, macOS e Linux armazena tokens de autenticação de forma insegura em texto simples desprotegido.

Nossa pesquisa descobriu que o aplicativo Microsoft Teams armazena tokens de autenticação em texto simples. Com esses tokens, os invasores podem assumir a identidade do titular do token para quaisquer ações possíveis por meio do cliente do Microsoft Teams, incluindo o uso desse token para acessar as funções da API do Microsoft Graph a partir do sistema de um invasor. Pior ainda, esses tokens roubados permitem que os invasores realizem ações contra contas habilitadas para MFA, criando um desvio de MFA.

A Microsoft está ciente desse problema e encerrou o caso afirmando que não atendeu à exigência de manutenção imediata. Até que a Microsoft mude para atualizar o aplicativo Teams Desktop, acreditamos que os clientes devem considerar o uso exclusivo do aplicativo Teams baseado na Web. Para clientes que precisam usar o aplicativo de desktop instalado, é fundamental observar os principais arquivos do aplicativo para acesso por qualquer processo que não seja o aplicativo oficial do Teams.

Como a Microsoft não tem pressa em corrigir o problema potencialmente muito sério, o conselho da Vectra é claro – pare de usar o aplicativo Teams:

Não recomendamos usar o cliente completo do Microsoft Teams até que a Microsoft corrija esse problema de forma eficaz. Use o cliente do Teams baseado na Web dentro do Microsoft Edge, que tem vários controles no nível do sistema operacional para proteger vazamentos de token. Felizmente, o aplicativo Web do Teams é robusto e oferece suporte à maioria dos recursos habilitados por meio do cliente de desktop, reduzindo ao mínimo os impactos na produtividade da organização.

Depois que a Microsoft atualizar os aplicativos do Electron Teams, ainda é essencial mudar para um modelo de alta restrição para impedir a instalação de aplicativos do Teams, bots, conectores etc. não autorizados.

Para usuários do Linux, este é o caminho recomendado, pois a Microsoft anunciou o fim da vida útil do Teams for Linux até dezembro de 2022.

Você pode ler mais detalhes da vulnerabilidade de segurança na postagem do blog da Vectra.

Acesse a versão completa
Sair da versão mobile