Vectra erläutert aktuelle Schwachstelle in Microsoft Teams
ID: 2007501
Teams speichert Authentifizierungs-Token als Klartext in Windows, Linux und Macs, ohne den Zugriff darauf zu schützen – Sicherheitslücke ermöglicht Datenmanipulation, Spear-Phishing und Identitätsmissbrauch
Nachforschungen von Vectra haben jedoch ergeben, dass diese Sicherheitslücke mehrere Formen von Angriffen, darunter Datenmanipulation, Spear-Phishing und Identitätsmissbrauch ermöglicht. Mit der richtigen Social-Engineering-Taktik könnte ein Angriff zu einer Unterbrechung des Geschäftsbetriebs führen. Der Angreifer benötigt Zugriff auf das lokale Dateisystem, aber jede Schwachstelle, die einen Dateizugriff ermöglicht, kann zum Abgreifen von Tokens genutzt werden. Vectra analysierte Microsoft Teams zuvor auf der Suche nach einer Möglichkeit, deaktivierte Konten aus Client-Anwendungen zu entfernen, und fand eine ldb-Datei mit Zugriffstokens im Klartext. Microsoft Teams ist eine Electron-Anwendung, d. h., sie wird in einem Browserfenster ausgeführt und verfügt über alle Elemente, die für eine normale Webseite erforderlich sind (Cookies, Sitzungszeichenfolgen, Protokolle usw.). Electron unterstützt standardmäßig keine Verschlüsselung oder geschützte Dateispeicherorte. Das Software-Framework ist zwar vielseitig und einfach zu verwenden, gilt aber nicht als sicher genug für geschäftskritische Produkte, es sei denn, es werden umfangreiche Anpassungen und zusätzliche Arbeiten vorgenommen.
„Microsoft unternimmt große Anstrengungen, um sich in Richtung Progressive Web Apps zu bewegen, was viele der Bedenken, die Electron derzeit mit sich bringt, entschärfen würde. Anstatt eine neue Architektur der Electron-App zu entwerfen, gehe ich davon aus, dass Microsoft mehr Ressourcen in die zukünftige Form steckt. Dies wird bereits durch die Einstellung der Unterstützung für die Linux-Desktop-App in diesem Jahr deutlich“, erklärt Andreas Riepen, Head Central and Eastern Europe bei Vectra AI.
Die Sicherheitslücke scheint unter die zweite Klasse von API-Schwachstellen aus der OWASP Top-10 API Security List zu fallen. Owasp hat keine klare Empfehlung für diesen Anwendungsfall, aber die sichere Speicherung von Zugangsdaten ist eine bewährte Sicherheitspraxis, die hier verletzt wird. Ein Angreifer mit lokalem Zugriff auf ein System, auf dem Microsoft Teams installiert ist, könnte somit die Tokens stehlen und sie verwenden, um sich beim Konto des Opfers anzumelden.
„Bei der Überprüfung hat sich gezeigt, dass diese Zugangstokens aktiv waren und nicht versehentlich durch einen früheren Fehler verloren gingen. Die Tokens ermöglichten uns den Zugriff auf die Outlook- und Skype-APIs“, so Riepen. Darüber hinaus entdeckten die Analysten, dass der Ordner „Cookies“ ebenfalls gültige Authentifizierungstoken sowie Kontoinformationen, Sitzungsdaten und Marketing-Tags enthielt. Er fügt hinzu: „Für diesen Angriff sind keine besonderen Berechtigungen oder fortgeschrittene Malware erforderlich, um großen internen Schaden anzurichten. Indem sie die Kontrolle über kritische Positionen – wie die des Head of Engineering, CEO oder CFO – übernehmen, können Angreifer Benutzer dazu bringen, Aufgaben auszuführen, die dem Unternehmen schaden.“
Schließlich entwickelte Vectra einen Exploit, indem es einen API-Aufruf missbrauchte, der das Senden von Nachrichten an sich selbst ermöglicht. Mithilfe der SQLite-Engine zum Auslesen der Cookies-Datenbank erhielten die Forscher die Authentifizierungstokens als Nachricht in ihrem Chat-Fenster. Die größte Sorge besteht darin, dass diese Schwachstelle mittels Information-Stealer-Malware missbraucht wird, die sich zu einer der am häufigsten verbreiteten Paylods in Phishing-Kampagnen entwickelt hat. Mit dieser Art von Malware können Angreifer Microsoft Teams-Authentifizierungstoken stehlen und sich aus der Ferne als Benutzer anmelden, um die MFA zu umgehen und vollen Zugriff auf das Konto zu erhalten. Informationsdiebe tun dies bereits für andere Anwendungen wie Google Chrome, Microsoft Edge, Mozilla Firefox, Discord und viele andere.
Da eine Veröffentlichung eines Patches unwahrscheinlich ist, empfiehlt Vectra den Nutzern, auf die Browser-Version des Microsoft Teams-Clients umzusteigen. Durch die Verwendung von Microsoft Edge zum Laden der Anwendung profitieren die Nutzer von zusätzlichen Schutzmaßnahmen gegen Token-Lecks. Linux-Nutzern raten die Forscher, auf eine andere Collaboration-Suite umzusteigen, zumal Microsoft ohnehin angekündigt hat, den Support der Anwendung für diese Plattform im Dezember einzustellen.
# # # ENDE # # #
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Vectra ist ein führender Anbieter von Bedrohungserkennung und -abwehr für Hybrid- und Multi-Cloud-Unternehmen. Die Vectra-Plattform nutzt KI zur schnellen Erkennung von Bedrohungen in der Public Cloud, bei Identitäts- und SaaS-Anwendungen sowie in Rechenzentren. Nur Vectra optimiert die KI, um Angreifermethoden – die TTPs (Taktiken, Techniken und Prozesse), die allen Angriffen zugrunde liegen – zu erkennen, anstatt einfach nur bei „anders“ zu alarmieren. Das daraus resultierende realitätsnahe Bedrohungssignal und der klare Kontext ermöglichen es Sicherheitsteams, schneller auf Bedrohungen zu reagieren und laufende Angriffe zu stoppen. Unternehmen auf der ganzen Welt verlassen sich auf Vectra, wenn es darum geht, gefährliche Cyberbedrohungen abzuwehren und zu verhindern, dass Ransomware, Supply-Chain-Kompromittierung, Identitätsübernahmen und andere Cyberangriffe ihr Unternehmen beeinträchtigen.
tech2com UG
Philipp Haberland
Festnetz: 07162/601400-1
Mobil: 0163/2722363
Mail: p.haberland(at)tech2com.de
Datum: 15.09.2022 - 10:25 Uhr
Sprache: Deutsch
News-ID 2007501
Anzahl Zeichen: 5732
Kontakt-Informationen:
Kategorie:
Sicherheit
Meldungsart: Produktinformation
Versandart: Veröffentlichung
Freigabedatum: 15.09.2022
Diese Pressemitteilung wurde bisher 243 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Vectra erläutert aktuelle Schwachstelle in Microsoft Teams "
steht unter der journalistisch-redaktionellen Verantwortung von
Sparta PR (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
