Microsoft Teams almacena tokens de autenticación en texto claro, no se solucionará pronto

El cliente Teams de Microsoft almacena tokens de autenticación de usuario en un formato de texto desprotegido, lo que potencialmente permite a los atacantes con acceso local publicar mensajes y moverse lateralmente a través de una organización, incluso con factores de autenticación bidireccional habilitados, según una firma de seguridad cibernética.

Vectra recomienda evitar el cliente de escritorio de Microsoft, creado con el marco Electron para crear aplicaciones a partir de tecnologías de navegador, hasta que Microsoft solucione la falla. Usar el cliente de Teams basado en la web en un navegador como Microsoft Edge es, irónicamente, más seguro, afirma Vectra. El problema informado afecta a los usuarios de Windows, Mac y Linux.

Microsoft, por su parte, cree que el exploit Vectra «no alcanza nuestra barra de servicio inmediato» porque requeriría otras vulnerabilidades para ingresar a la red en primer lugar. Un portavoz le dijo a Dark Reading que la empresa «considerará arreglar (el problema) en una futura versión del producto».

Investigadores de Vectra descubrió la vulnerabilidad mientras ayudaba a un cliente que intentaba eliminar una cuenta deshabilitada de la configuración de sus equipos. Microsoft requiere que los usuarios inicien sesión para ser eliminados, por lo que Vectra revisó los datos de configuración de la cuenta local. Se comprometieron a eliminar las referencias a la cuenta conectada. Lo que encontraron en su lugar, al buscar en los archivos de la aplicación el nombre del usuario, fueron fichas, claramente, que proporcionaban acceso a Skype y Outlook. Cada token encontrado estaba activo y podía otorgar acceso sin desencadenar un desafío de dos factores.

Yendo más allá, diseñaron un exploit de prueba de concepto. Su versión descarga un motor SQLite en una carpeta local, lo usa para escanear el almacenamiento local de una aplicación de Teams en busca de un token de autenticación y luego envía al usuario un mensaje de prioridad con su propio texto de token. . Las posibles consecuencias de este exploit son mayores que el phishing de algunos usuarios con sus propios tokens, por supuesto:

Cualquiera que instale y use el cliente de Microsoft Teams en este estado almacena las credenciales necesarias para realizar cualquier acción posible a través de la interfaz de usuario de Teams, incluso cuando Teams está detenido. Esto permite a los atacantes modificar archivos de SharePoint, correo electrónico y calendarios de Outlook y archivos de chat de Teams. Aún más dañino, los atacantes pueden alterar las comunicaciones legítimas dentro de una organización derribando, exfiltrando o participando en ataques de phishing selectivos. En este punto, no hay límite para la capacidad de un atacante de moverse a través de su entorno empresarial.

Vectra señala que moverse a través del acceso de Teams de un usuario presenta un pozo particularmente rico para los ataques de phishing, ya que los actores malintencionados pueden hacerse pasar por directores ejecutivos u otros ejecutivos y buscar acciones y clics de empleados de nivel inferior. Esta es una estrategia conocida como Business Email Compromise (BEC); puedes leer sobre eso en el blog On the Issues de Microsoft.

Ya se ha descubierto que las aplicaciones electrónicas albergan profundos problemas de seguridad. Una presentación de 2019 mostró cómo las vulnerabilidades del navegador podrían usarse para inyectar código en Skype, Slack, WhatsApp y otras aplicaciones de Electron. Se descubrió que la aplicación Electron de escritorio de WhatsApp tenía otra vulnerabilidad en 2020proporcionar acceso local a los archivos a través de JavaScript incrustado en los mensajes.

Nos hemos puesto en contacto con Microsoft para obtener comentarios y actualizaremos esta publicación si recibimos una respuesta.

Vectra recomienda que los desarrolladores, si «deben usar Electron para su aplicación», almacenen tokens OAuth de forma segura utilizando herramientas como KeyTar. Connor Peoples, arquitecto de seguridad de Vectra, le dijo a Dark Reading que cree que Microsoft se está alejando de Electron y se está acercando a Progressive Web Apps, lo que proporcionaría una mejor seguridad a nivel del sistema operativo en torno a las cookies y el almacenamiento.