Microsoft Teams Masaüstü Uygulamasındaki Ciddi Güvenlik Açığı, Saldırganların Kimlik Doğrulama Belirteçlerine Erişmesine İzin Veriyor

Daha önce, Ağustos 2022'de Vectra araştırmacıları, dosya sistemi erişimine sahip saldırganların oturum açmış herhangi bir Microsoft Teams kullanıcısının kimlik bilgilerini çalmasına izin veren bir saldırı yolu keşfetti.

Raporlar, saldırganların bu dosyaları okumak için izin gerektirmediğini ve bunun Windows, Mac ve Linux için tüm ticari ve GCC Masaüstü Ekipleri istemcilerini etkilediğini söylüyor. Vectra bu sorunu Microsoft'a bildirdi, ancak acil servis için çubuklarını karşılamadığını söylediler.

Microsoft Teams'in Masaüstü Uygulamasındaki Ciddi Güvenlik Açıkları

Microsoft Teams, Microsoft 365 ürün ailesinin bir parçası olarak Microsoft tarafından geliştirilen tescilli bir iş iletişim platformudur. Ekipler çalışma alanı sohbeti ve video konferans, dosya depolama ve uygulama entegrasyonu sunan benzer hizmet Slack ile rekabet ediyorlar.

Genellikle Microsoft Teams Uygulaması kimlik doğrulama belirteçlerini 'açık metin' olarak depolar ve bu belirteçlerle saldırganlar, Microsoft Teams istemcisi aracılığıyla yapılabilecek tüm eylemler için belirteç sahibinin kimliğini tahmin edebilir.

Ayrıca Vectra araştırmacıları, çalınan tokenlerin tehdit aktörlerinin "MFA etkin hesaplara" saldırmasına ve bir "MFA baypası" oluşturmasına izin verdiğini söylüyor.

Araştırmacılar, güvenlik açığının temel nedenlerinden birinin, Microsoft Teams'in Electron'un özelleştirilmiş bir tarayıcıdan geçen ve geliştirmeyi kolaylaştıran bir web uygulaması oluşturarak çalıştığı Electron tabanlı bir uygulama olması olduğunu söylüyor.

Ancak bir web tarayıcısını çalıştırmak için çerezler, oturum dizeleri ve günlükler gibi tarayıcı verilerine ihtiyaç vardır. Ayrıca, şifreleme gibi standart tarayıcı denetimlerini desteklemez ve sistem korumalı dosya konumları Electron tarafından desteklenmez.

"İnceleme üzerine, bu erişim belirteçlerinin etkin olduğu ve önceki bir hatanın yanlışlıkla dökümü olmadığı belirlendi. Bu erişim belirteçleri bize Outlook ve Skype API'lerine erişim sağladı." – Vectra

Uzmanlar, SQLite'ın kurulum gerektirmediği SQLite motorunu kullandılar, bu nedenle istismar SQLite'ı yerel bir klasöre indirdi ve araştırmacıların mesaj göndermek için gereken Skype Access belirtecini çıkardığı Cookies DB'yi okumak için çalıştırdı.

"Masaüstü uygulaması, saldırganların kimlik bilgilerini amaçlanan bağlamlarının dışında kullanmaları için fırsatlar yaratıyor, çünkü modern tarayıcıların aksine, çerez verilerini korumak için ek güvenlik denetimleri yok", diyor Vectra

Uzmanlar ayrıca, saldırganların bir kuruluş içinde iletişim kurabileceğinden de bahsediyor. Bir şirketin Mühendislik Başkanı, CEO'su veya CFO'su gibi kritik koltukların tam kontrolünü üstlenen saldırganlar, kullanıcıları kuruluşa zarar veren görevleri yerine getirmeye ikna edebilir.

Öneri

Araştırmacı, belirteç sızıntılarını korumak için birden çok işletim sistemi düzeyinde denetime sahip olan Microsoft Edge içindeki web tabanlı Teams istemcisini kullanmanızı önerir. Linux kullanıcıları, özellikle Microsoft'un Aralık ayına kadar platform için uygulamayı desteklemeyi bırakma planlarını duyurmasından bu yana farklı bir işbirliği paketine geçiyor.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.