Microsoft团队使用Windows,Mac或Linux上的应用程序来影响服务的所有用户。
微软团队 是一个集成的软件包平台 微软365。该服务在全球范围内被近3亿用户用于视频会议,语音通话,短信和文件交换。专门用于业务和办公室,假定Windows,Linux和Mac的Microsoft团队应具有相关的安全标准。但是,对于微软加密似乎有些重要。
2022年8月(2022年),一组安全分析师发现了一个 微软团队漏洞 微软似乎并没有复杂地解决它。
微软团队漏洞 – 未关闭的身份验证令牌
发现的安全问题是在Microsoft Teams应用程序,Mac和Linux应用程序中无限的身份验证令牌存储。更准确 user authentication tokens 被保留 cleartext。
这意味着,如果攻击者可以访问安装的计算机 微软团队,它将能够从应用程序中获得身份验证的凭据,并能够连接到受害者的帐户。此外,攻击者向他保证 Microsoft Graph API 即使帐户受到保护 MFA ((Multi-factor authentication)。无需高级恶意软件或特殊权限可以访问包含身份验证令牌的文件。
这种脆弱性(如果我能称呼它)会影响世界上许多公司。在Microsoft团队,业务对话,组织内的会议,团队合作会议,进行就业面试并发送机密数据。
最侮辱性的部分是该问题已报告 康纳人民 (网络确定分析师)自2022年8月以来,到目前为止(2022年9月半年)微软尚未采取任何措施。
直到微软将解决此Microsoft团队漏洞之前,用户可以使用Web版本保护自己。
在2022年,在ClearText中保存敏感数据,更加身份验证令牌,在我看来,Microsoft使用1990年代的技术 Yahoo! Messenger 面食对话本地文本格式。微软带有额外的东西。保留身份验证数据。
