Ένα θέμα ευπάθειας του Microsoft Teams που επηρεάζει όλους τους χρήστες της υπηρεσίας που χρησιμοποιούν την εφαρμογή σε Windows, Mac ή Linux.
Ομάδες της Microsoft είναι μια ολοκληρωμένη πλατφόρμα πακέτων Microsoft 365. Η υπηρεσία χρησιμοποιείται παγκοσμίως από σχεδόν 300 εκατομμύρια χρήστες για τηλεδιάσκεψη, φωνητικές κλήσεις, μηνύματα κειμένου και αποθηκευμένα/κοινή χρήση αρχείων. Χρησιμοποιείται ειδικά για επιχειρήσεις και γραφείο, θεωρείται ότι το Microsoft Teams για Windows, Linux και Mac θα πρέπει να διαθέτει ένα σχετικό πρότυπο ασφαλείας για την τρέχουσα εποχή. Ωστόσο, φαίνεται ότι για τη Microsoft η κρυπτογράφηση είναι μικρής σημασίας.
Τον Αύγουστο (2022), μια ομάδα αναλυτών ασφαλείας ανακάλυψε α Ευπάθεια του Microsoft Teams που φαίνεται ότι η Microsoft δεν έχει περιπλέξει να λύσει μέχρι αυτή τη στιγμή.
Ευπάθεια των ομάδων της Microsoft – Το μη κρυπτογραφημένο διακριτικό ελέγχου ταυτότητας
Το πρόβλημα ασφαλείας που ανακαλύφθηκε συνίσταται στην μη κρυπτογραφημένη αποθήκευση των διακριτικών ελέγχου ταυτότητας στην εφαρμογή Microsoft Teams για Windows, Mac και Linux. Πιο ακριβές user authentication tokens διατηρούνται μέσα cleartext.
Αυτό σημαίνει ότι εάν ένας εισβολέας έχει πρόσβαση σε έναν υπολογιστή στον οποίο είναι εγκατεστημένος Ομάδες της Microsoft, θα μπορεί να λάβει τα διαπιστευτήρια ελέγχου ταυτότητας από την εφαρμογή και να συνδεθεί στον λογαριασμό του θύματος. Επιπλέον, ο εισβολέας διασφαλίζει την πρόσβαση σε Microsoft Graph API ακόμα κι αν ο λογαριασμός προστατεύεται με MFA (Multi-factor authentication). Δεν απαιτούνται προηγμένα κακόβουλα προγράμματα ή ειδικά δικαιώματα για την πρόσβαση σε αρχεία που περιέχουν διακριτικά ελέγχου ταυτότητας.
Αυτή η ευπάθεια (αν μπορώ να την ονομάσω έτσι) μπορεί να επηρεάσει πολλές εταιρείες σε όλο τον κόσμο. Πραγματοποιούνται επαγγελματικές συνομιλίες, οργανωτικές συναντήσεις, συνεδρίες ομαδικής εργασίας, συνεντεύξεις εργασίας και αποστέλλονται εμπιστευτικά δεδομένα στο Microsoft Teams.
Το πιο ανησυχητικό είναι ότι αυτό το πρόβλημα αναφέρθηκε από Connor Peoples (αναλυτής κυβερνοασφάλειας) από τον Αύγουστο του 2022 και μέχρι τώρα (μισό Σεπτεμβρίου 2022) η Microsoft δεν έχει προβεί σε καμία ενέργεια.
Έως ότου η Microsoft διορθώσει αυτήν την ευπάθεια του Microsoft Teams, οι χρήστες μπορούν να προστατευτούν χρησιμοποιώντας την έκδοση web της εφαρμογής.
Το 2022, διατηρώντας ευαίσθητα δεδομένα σε καθαρό κείμενο, ακόμα περισσότερα διακριτικά ελέγχου ταυτότητας, μου φαίνεται ότι η Microsoft χρησιμοποιεί τις τεχνικές της δεκαετίας του '90 όταν Yahoo! Messenger επικολλήστε τοπικές συνομιλίες σε μορφή κειμένου. Η Microsoft έρχεται με κάτι επιπλέον. Διατηρήστε τα δεδομένα ελέγχου ταυτότητας.
