Uma vulnerabilidade das equipes da Microsoft que afeta todos os usuários do serviço usando o aplicativo no Windows, Mac ou Linux.
Equipes da Microsoft é uma plataforma de pacote integrada Microsoft 365. O serviço é usado globalmente por quase 300 milhões de usuários para videoconferências, chamadas de voz, mensagens de texto e troca de arquivos. Usado especialmente para negócios e escritório, supõe -se que as equipes da Microsoft para Windows, Linux e Mac devem ter um padrão de segurança relevante. No entanto, parece que a criptografia da Microsoft é um pouco importante.
Em agosto (2022), uma equipe de analistas de segurança descobriu um Microsoft equipes vulnerabilidade a partir da qual a Microsoft parece não ter sido complicada para resolvê -la até agora.
Microsoft equipes vulnerabilidade – O token de autenticação sem dificuldade
O problema de segurança descoberto é o armazenamento ilimitado de tokens de autenticação no aplicativo Microsoft Teams para Windows, Mac e Linux. Mais preciso user authentication tokens são mantidos dentro cleartext.
Isso significa que, se um invasor tiver acesso a um computador instalado Equipes da Microsoft, Será capaz de receber as credenciais da autenticação do aplicativo e poderá conectar -se à conta da vítima. Além disso, o atacante garante seu acesso a Microsoft Graph API Mesmo que a conta esteja protegida com MFA (Multi-factor authentication). Não há necessidade de malware avançado ou permissões especiais para ter acesso a arquivos contendo tokens de autenticação.
Essa vulnerabilidade (se eu puder chamar assim) pode afetar muitas empresas em todo o mundo. Nas equipes da Microsoft, conversas de negócios, sessões nas organizações, sessões de trabalho em equipe são usadas, entrevistas de emprego são realizadas e dados confidenciais são enviados.
A parte mais ofensiva é que esse problema foi relatado por Connor Povos (Analista de Cybersecuity) desde agosto de 2022 e até agora (metade de setembro de 2022) a Microsoft não tomou nenhuma medida.
Até que a Microsoft resolva essa vulnerabilidade das equipes da Microsoft, os usuários podem se proteger usando a versão da Web.
Em 2022, a preservação de dados sensíveis no ClearText, todos os tokens mais autenticação, parece -me que a Microsoft usa as técnicas dos anos 90 quando Yahoo! Messenger Conversas de massas locais em formato de texto. A Microsoft vem com algo extra. Mantém os dados de autenticação.
