Уязвимост Microsoft Teams което засяга всички потребители на услугата, които използват приложението на Windows, Mac или Linux.
Microsoft Teams е интегрирана пакетна платформа Microsoft 365. Услугата се използва в световен мащаб от близо 300 милиона потребители за видеоконференции, гласови повиквания, текстови съобщения и споделяне на съхранени/файлове. Предвидено е да се използва специално за бизнес и офис Microsoft Teams Pentru Windows, Linux si Mac трябва да има стандарт за сигурност, подходящ за настоящите времена. Изглежда обаче, че за Microsoft криптирането е от малко значение.
През август (2022 г.) екип от анализатори по сигурността откри a уязвимост Microsoft Teams което очевидно Microsoft не е усложнило решението до този момент.
уязвимост Microsoft Teams – Некриптираният токен за удостоверяване
Откритият проблем със сигурността се състои в некриптирано съхранение на токени за удостоверяване в приложението Microsoft Teams Pentru Windows, Mac si Linux. По точно user authentication tokens се съхраняват в cleartext.
Това означава, че ако нападателят има достъп до компютър, на който е инсталиран Microsoft Teams, той ще може да вземе идентификационните данни от приложението и да се свърже с акаунта на жертвата. Освен това нападателят си осигурява достъп до Microsoft Graph API дори ако акаунтът е защитен с MFA (Multi-factor authentication). Не са необходими усъвършенствани зловреден софтуер или специални разрешения за достъп до файлове, съдържащи токени за удостоверяване.
Тази уязвимост (ако мога да я нарека така) може да засегне много компании по света. На Microsoft Teams провеждат се бизнес разговори, срещи в рамките на организации, екипни работни сесии, провеждат се интервюта за работа и се изпращат поверителни данни.
Най-притеснителното е, че този проблем е докладван от Конър Пийпълс (анализатор по киберсигурност) от август 2022 г. и до момента (половината на септември 2022 г.) Microsoft не е предприела никакви действия.
Докато Microsoft разреши тази уязвимост Microsoft Teams, потребителите могат да се защитят с помощта на уеб версията на приложението.
През 2022 г., съхранявайки чувствителни данни в чист текст, дори повече токени за удостоверяване, струва ми се, че Microsoft използва техниките от 90-те, когато Yahoo! Messenger поставяне на местни разговори в текстов формат. Microsoft идва с нещо допълнително. Запазете данните за удостоверяване.
