Ranljivost Microsoft Teams ki vpliva na vse uporabnike storitve, ki uporabljajo aplikacijo na Windows, Mac ali Linux.
Microsoft Teams je integrirana paketna platforma Microsoft 365. Storitev po vsem svetu uporablja skoraj 300 milijonov uporabnikov za videokonference, glasovne klice, besedilna sporočila in skupno rabo shranjenih/datotek. Uporabljal naj bi se predvsem za posel in pisarno Microsoft Teams za Windows, Linux si Mac imeti mora varnostni standard, ki ustreza trenutnemu času. Vendar se zdi, da za Microsoft šifriranje ni pomembno.
Avgusta (2022) je skupina varnostnih analitikov odkrila a ranljivost Microsoft Teams ki ga očitno Microsoft do tega trenutka ni kompliciral rešiti.
ranljivost Microsoft Teams – Nešifriran žeton za preverjanje pristnosti
Odkrita varnostna težava je v nešifriranem shranjevanju žetonov za preverjanje pristnosti v aplikaciji Microsoft Teams za Windows, Mac si Linux. Natančneje user authentication tokens se hranijo v cleartext.
To pomeni, da če ima napadalec dostop do računalnika, na katerem je nameščen Microsoft Teams, bo lahko vzel poverilnice za preverjanje pristnosti iz aplikacije in se povezal z računom žrtve. Poleg tega si napadalec zagotovi dostop do Microsoft Graph API tudi če je račun zaščiten z MFA (Multi-factor authentication). Za dostop do datotek, ki vsebujejo žetone za preverjanje pristnosti, ni potrebna napredna zlonamerna programska oprema ali posebna dovoljenja.
Ta ranljivost (če ji lahko tako rečem) lahko prizadene številna podjetja po vsem svetu. Vklopljeno Microsoft Teams potekajo poslovni pogovori, sestanki znotraj organizacij, timsko delo, razgovori za službo in pošiljanje zaupnih podatkov.
Najbolj zaskrbljujoče je, da je o tej težavi poročal Connor Peoples (analitik kibernetske varnosti) od avgusta 2022 in do sedaj (polovica septembra 2022) Microsoft ni ukrepal.
Dokler Microsoft ne reši te ranljivosti Microsoft Teams, se lahko uporabniki zaščitijo s spletno različico aplikacije.
Leta 2022, ohranjanje občutljivih podatkov v čistem besedilu, še več žetonov za preverjanje pristnosti, se mi zdi, da Microsoft uporablja tehnike iz 90. Yahoo! Messenger prilepite lokalne pogovore v besedilni obliki. Microsoft ima nekaj dodatnega. Shranite podatke za preverjanje pristnosti.
