Tính dễ bị tổn thương của đội Microsoft – Mã thông báo Auth trong Cleartext (2022)

Lỗ hổng của Microsoft Teams ảnh hưởng đến tất cả người dùng dịch vụ sử dụng ứng dụng trên Windows, Mac hoặc Linux.

Đội Microsoft là một nền tảng gói tích hợp Microsoft 365. Dịch vụ này được gần 300 triệu người dùng trên toàn cầu sử dụng cho hội nghị truyền hình, cuộc gọi thoại, tin nhắn văn bản và chia sẻ tệp/lưu trữ. Được sử dụng đặc biệt cho doanh nghiệp và văn phòng, người ta cho rằng Microsoft Teams dành cho Windows, Linux và Mac phải có tiêu chuẩn bảo mật phù hợp cho thời điểm hiện tại. Tuy nhiên, có vẻ như đối với Microsoft việc mã hóa không mấy quan trọng.

Vào tháng 8 (2022), một nhóm các nhà phân tích chứng khoán đã phát hiện ra một Lỗ hổng của nhóm Microsoft điều mà có vẻ như Microsoft không hề phức tạp để giải quyết cho đến thời điểm này.

Tính dễ bị tổn thương của đội Microsoft – Mã thông báo xác thực không được mã hóa

Vấn đề bảo mật được phát hiện bao gồm việc lưu trữ mã thông báo xác thực không được mã hóa trong ứng dụng Microsoft Teams dành cho Windows, Mac và Linux. Chính xác hơn user authentication tokens được giữ trong cleartext.

Điều này có nghĩa là nếu kẻ tấn công có quyền truy cập vào máy tính được cài đặt nó Đội Microsoft, anh ta sẽ có thể lấy thông tin xác thực từ ứng dụng và kết nối với tài khoản của nạn nhân. Ngoài ra, kẻ tấn công còn đảm bảo quyền truy cập vào Microsoft Graph API ngay cả khi tài khoản được bảo vệ bằng MFA .Multi-factor authentication). Không cần phần mềm độc hại nâng cao hoặc quyền đặc biệt để truy cập các tệp chứa mã thông báo xác thực.

• Office 365 trở thành Microsoft 365 với Microsoft Team bao gồm
• Một lỗ hổng khác được phát hiện trong Java
• Một lỗ hổng quan trọng mới đối với Internet Explorer gây nguy hiểm cho các hệ thống Windows
• Lỗ hổng trong OS Windows (32 bit), 17 -yar -old
• Lỗ hổng nghiêm trọng được phát hiện trong WooC Commerce – Hàng triệu cửa hàng trực tuyến có thể bị xâm phạm

Lỗ hổng này (nếu tôi có thể gọi như vậy) có thể ảnh hưởng đến nhiều công ty trên thế giới. Các cuộc trò chuyện kinh doanh, cuộc họp tổ chức, buổi làm việc nhóm, phỏng vấn việc làm đều được tổ chức và dữ liệu bí mật được gửi trên Microsoft Teams.

Điều đáng lo ngại nhất là vấn đề này đã được báo cáo bởi Người dân Connor (nhà phân tích an ninh mạng) kể từ tháng 8 năm 2022 và cho đến nay (nửa tháng 9 năm 2022) Microsoft vẫn chưa có động thái nào.

Cho đến khi Microsoft khắc phục lỗ hổng Microsoft Teams này, người dùng có thể tự bảo vệ mình bằng phiên bản web của ứng dụng.

Vào năm 2022, việc giữ dữ liệu nhạy cảm ở dạng văn bản rõ ràng, thậm chí nhiều mã thông báo xác thực hơn, đối với tôi, có vẻ như Microsoft đang sử dụng các kỹ thuật của những năm 90 khi Yahoo! Messenger dán các cuộc hội thoại cục bộ ở định dạng văn bản. Microsoft đi kèm với một cái gì đó bổ sung. Giữ dữ liệu xác thực.