Güvenlik analistleri, tehdit aktörlerine kimlik doğrulama jetonlarına ve çok faktörlü kimlik doğrulama (MFA) ile hesaplara erişim sağlayan Microsoft ekipleri için masaüstü uygulamasında ciddi bir güvenlik açığı buldular.
Microsoft Teams, 270 milyondan fazla kişi tarafından kısa mesaj alışverişi, video konferans ve dosya depolamak için kullanılan 365 ürün ailesine dahil olan bir iletişim platformudur.
Yeni keşfedilen güvenlik sorunu, Windows, Linux ve Mac uygulamasının sürümlerini etkiler ve kullanıcı kimlik doğrulama jetonlarını bunlara erişimi korumadan net metinde saklayan Microsoft ekiplerini ifade eder.
Microsoft Teams'in yüklendiği bir sistemde yerel erişime sahip bir saldırgan, jetonları çalabilir ve kurbanın hesabına giriş yapmak için kullanabilir.
Siber güvenlik şirketindeki Connor Peoples, bu hafta bir raporda, "Bu saldırı, büyük iç hasarlardan kurtulmak için özel izinler veya gelişmiş kötü amaçlı yazılım gerektirmiyor."
Araştırmacı, "bir şirketin mühendislik başkanı, CEO veya CFO gibi kritik koltukların kontrolünü alarak kullanıcıları kuruluşa zarar veren görevleri yerine getirmeye ikna edebileceğini" ekliyor.
Vectra araştırmacıları sorunu Ağustos 2022'de keşfetti ve Microsoft'a bildirdi. Ancak Microsoft, sorunun ciddiyeti üzerinde anlaşmadı ve bunun yama kriterlerini karşılamadığını söyledi.
Microsoft Teams, bir elektron uygulamasıdır, yani bir tarayıcı penceresinde çalışır, normal bir web sayfasının (çerezler, oturum dizeleri, günlükler vb.) Gerekli tüm öğeleriyle tamamlanır.
Elektron varsayılan olarak şifreleme veya korunan dosya konumlarını desteklemez, bu nedenle yazılım çerçevesi çok yönlü ve kullanımı kolay olsa da, kapsamlı özelleştirme ve ek çalışma uygulanmadıkça kritik ürünler geliştirmek için yeterince güvenli kabul edilmez.
Vectra, devre dışı bırakılmış hesapları istemci uygulamalarından kaldırmanın bir yolunu bulmaya çalışırken Microsoft ekiplerini analiz etti ve açık metinde erişim belirteçli bir LDB dosyası buldu.
"İnceleme üzerine, bu erişim belirteçlerinin aktif olduğu ve önceki bir hatanın kazara bir dökümü olmadığı belirlendi. Bu erişim belirteçleri bize Outlook ve Skype API'lerine erişim sağladı." - Vectra
Ayrıca, analistler "Çerezler" klasörünün hesap bilgileri, oturum verileri ve pazarlama etiketleri ile birlikte geçerli kimlik doğrulama jetonları içerdiğini keşfettiler.
Son olarak, Vectra kendisine mesaj göndermeye izin veren bir API çağrısını kötüye kullanarak bir istismar geliştirdi. Çerez veritabanını okumak için SQLite motorunu kullanarak, araştırmacılar kimlik doğrulama jetonlarını sohbet pencerelerinde bir mesaj olarak aldı.
En büyük endişe, bu kusurun kimlik avı kampanyalarında en yaygın olarak dağıtılmış maaşlardan biri haline gelen bilgi çalan kötü amaçlı yazılımlarla istismar edileceğidir.
Bu tür kötü amaçlı yazılımları kullanarak, tehdit aktörleri Microsoft Teams kimlik doğrulama jetonlarını çalabilir ve kullanıcı olarak uzaktan giriş yapabilir, MFA'yı atlayabilir ve hesaba tam erişim kazanabilir.
Bilgi Stealers bunu zaten Google Chrome, Microsoft Edge, Mozilla Firefox, Discord ve daha fazlası gibi diğer uygulamalar için yapıyor.
Bir yama piyasaya sürülmesi muhtemel olmayan bir yama ile Vectra'nın tavsiyesi, kullanıcıların Microsoft Teams istemcisinin tarayıcı sürümüne geçmesi içindir. Uygulamayı yüklemek için Microsoft Edge kullanarak kullanıcılar, jeton sızıntılarına karşı ek korumalardan yararlanır.
Araştırmacılar, Linux kullanıcılarına farklı bir işbirliği paketine geçmelerini tavsiye ediyor, özellikle de Microsoft, Aralık ayına kadar platform için uygulamayı desteklemeyi bırakmayı planladığından beri.
Hemen farklı bir çözüme geçemeyenler için, aşağıdaki dizinlere erişen süreçleri keşfetmek için bir izleme kuralı oluşturabilirler:
BleepingComputer, şirketin sorun için bir düzeltme yayınlama planları hakkında Microsoft ile iletişime geçti ve bir cevap aldığımızda makaleyi güncelleyecek.
GÜNCELLEME 9/14/22 -Bir Microsoft sözcüsü bize Vectra'nın bulgularıyla ilgili aşağıdaki yorumu gönderdi:
Açıklanan teknik, bir saldırganın ilk önce bir hedef ağa erişmesini gerektirdiğinden, derhal servis için çubuğumuzu karşılamıyor.
Vectra Protect’in bu sorunu tanımlama ve sorumlu bir şekilde ifşa etme ortaklığını takdir ediyoruz ve gelecekteki bir ürün sürümünde ele almayı düşüneceğiz.
Gifshell Saldırısı Microsoft Teams GIF'leri kullanarak ters kabuk oluşturur
Yeni Lenovo BIOS güncellemeleri Güvenlik hatalarını yüzlerce modelde düzeltin
Microsoft Eylül 2022 Patch Saldırı Saldırılarda Kullanılan Zero Day'i düzeltiyor, 63 Kusur
Birçok HP bilgisayar modelindeki ürün yazılımı hataları, bir yıldan fazla bir süredir serbest bırakılmamış
HP, önceden yüklenmiş destek asistanı aracında şiddetli hatayı düzeltir
Kaynak: Bleeping Computer