يقوم Microsoft Teams بتخزين رموز مصادقة النص الواضح ، ولن يتم تصحيحها بسرعة

يقوم عميل Teams من Microsoft بتخزين رموز المصادقة الخاصة بالمستخدمين بتنسيق نصي غير محمي ، مما قد يسمح للمهاجمين الذين لديهم وصول محلي لنشر الرسائل والتحرك أفقياً عبر المؤسسة ، حتى مع تمكين المصادقة الثنائية ، وفقًا لشركة الأمن السيبراني.

توصي Vectra بتجنب عميل سطح المكتب من Microsoft ، الذي تم إنشاؤه باستخدام إطار عمل Electron لإنشاء تطبيقات من تقنيات المستعرض ، حتى تقوم Microsoft بإصلاح الخلل. يعتبر استخدام عميل Teams المستند إلى الويب داخل مستعرض مثل Microsoft Edge ، إلى حد ما ، أكثر أمانًا ، كما تدعي Vectra. تؤثر المشكلة المبلغ عنها على مستخدمي Windows و Mac و Linux.

من جانبها ، تعتقد Microsoft أن استغلال Vectra “لا يفي بمعاييرنا الخاصة بالخدمات الفورية” نظرًا لأنه يتطلب ثغرات أمنية أخرى للوصول إلى داخل الشبكة في المقام الأول. قال متحدث باسم Dark Reading أن الشركة “ستنظر في معالجة (المشكلة) في إصدار منتج مستقبلي.”

الباحثون في فيكترا اكتشف الثغرة الأمنية أثناء مساعدة عميل يحاول إزالة حساب معطل من إعداد Teams الخاص بهم. تطلب Microsoft من المستخدمين تسجيل الدخول حتى تتم إزالتهم ، لذلك نظرت Vectra في بيانات تكوين الحساب المحلي. شرعوا في إزالة الإشارات إلى الحساب الذي تم تسجيل الدخول إليه. ما وجدوه بدلاً من ذلك ، من خلال البحث في اسم المستخدم في ملفات التطبيق ، كان عبارة عن رموز ، واضحة ، توفر الوصول إلى Skype و Outlook. كان كل رمز تم العثور عليه نشطًا ويمكن أن يمنح حق الوصول دون إثارة تحدي عاملين.

للمضي قدمًا ، قاموا بصياغة استغلال لإثبات صحة المفهوم. يقوم الإصدار الخاص بهم بتنزيل محرك SQLite إلى مجلد محلي ، ويستخدمه لفحص التخزين المحلي لتطبيق Teams بحثًا عن رمز المصادقة ، ثم يرسل للمستخدم رسالة ذات أولوية عالية مع نص الرمز الخاص به. العواقب المحتملة لهذا الاستغلال أكبر من التصيد الاحتيالي لبعض المستخدمين برموزهم الخاصة ، بالطبع:

يقوم أي شخص يقوم بتثبيت عميل Microsoft Teams واستخدامه في هذه الحالة بتخزين بيانات الاعتماد اللازمة لتنفيذ أي إجراء ممكن من خلال واجهة مستخدم Teams ، حتى عند إيقاف تشغيل Teams. يتيح ذلك للمهاجمين تعديل ملفات SharePoint وبريد Outlook والتقويمات وملفات دردشة Teams. والأكثر ضررًا هو أن المهاجمين يمكنهم العبث بالاتصالات المشروعة داخل المنظمة عن طريق التدمير الانتقائي أو التهريب أو الانخراط في هجمات التصيد المستهدفة. لا يوجد حد لقدرة المهاجم على التنقل عبر بيئة شركتك في هذه المرحلة.

يلاحظ Vectra أن التنقل من خلال وصول المستخدم إلى Teams يمثل فائدة غنية بشكل خاص لهجمات التصيد الاحتيالي ، حيث يمكن للجهات الفاعلة الخبيثة أن تتظاهر كرؤساء تنفيذيين أو مديرين تنفيذيين آخرين وتسعى للحصول على إجراءات ونقرات من الموظفين ذوي المستوى الأدنى. إنها استراتيجية تُعرف باسم تسوية البريد الإلكتروني للأعمال (BEC) ؛ يمكنك أن تقرأ عنها على مدونة Microsoft On the Issues.

تم اكتشاف أن تطبيقات الإلكترون تحتوي على مشكلات أمنية عميقة من قبل. أظهر العرض التقديمي لعام 2019 كيف يمكن استخدام الثغرات الأمنية في المتصفح حقن التعليمات البرمجية في Skype و Slack و WhatsApp وتطبيقات Electron الأخرى. تم العثور على تطبيق WhatsApp لسطح المكتب Electron ثغرة أخرى في عام 2020، مما يوفر الوصول إلى الملفات المحلية من خلال JavaScript مضمن في الرسائل.

لقد تواصلنا مع Microsoft للتعليق وسنقوم بتحديث هذا المنشور إذا تلقينا ردًا.

توصي Vectra المطورين ، إذا “يجب عليهم استخدام Electron لتطبيقك” ، بتخزين رموز OAuth المميزة بأمان باستخدام أدوات مثل KeyTar. أخبر كونور بيبولز ، مهندس الأمن في Vectra ، Dark Reading أنه يعتقد أن Microsoft تتحرك بعيدًا عن Electron وتتحول نحو تطبيقات الويب التقدمية ، والتي ستوفر أمانًا أفضل على مستوى نظام التشغيل حول ملفات تعريف الارتباط والتخزين.