Microsoft Teams menyimpan token autentikasi sebagai teks yang jelas di Windows, Linux, Mac

Microsoft Teams menyimpan token autentikasi sebagai teks yang jelas di Windows, Linux, Mac

Analis keamanan telah menemukan kerentanan keamanan yang parah di aplikasi desktop untuk Microsoft Teams yang memberi aktor ancaman akses ke token autentikasi dan akun dengan autentikasi multi-faktor (MFA) diaktifkan.

Microsoft Teams adalah platform komunikasi, termasuk dalam keluarga produk 365, digunakan oleh lebih dari 270 juta orang untuk bertukar pesan teks, konferensi video, dan menyimpan file.

Masalah keamanan yang baru ditemukan memengaruhi versi aplikasi untuk Windows, Linux, dan Mac dan merujuk pada Tim Microsoft yang menyimpan token autentikasi pengguna dalam teks yang jelas tanpa melindungi akses ke sana.

Penyerang dengan akses lokal pada sistem tempat Microsoft Teams diinstal dapat mencuri token dan menggunakannya untuk masuk ke akun korban.

“Serangan ini tidak memerlukan izin khusus atau malware tingkat lanjut untuk menghindari kerusakan internal yang besar,” Connor Peoples dari perusahaan keamanan siber Vectra menjelaskan dalam sebuah laporan minggu ini.

Peneliti menambahkan bahwa dengan mengambil “kontrol kursi penting—seperti Kepala Teknik, CEO, atau CFO perusahaan—penyerang dapat meyakinkan pengguna untuk melakukan tugas yang merusak organisasi.”

Peneliti Vectra menemukan masalah tersebut pada Agustus 2022 dan melaporkannya ke Microsoft. Namun, Microsoft tidak menyetujui tingkat keparahan masalah dan mengatakan bahwa itu tidak memenuhi kriteria untuk patch.

Detail masalah

Microsoft Teams adalah aplikasi Electron, artinya aplikasi ini berjalan di jendela browser, lengkap dengan semua elemen yang diperlukan oleh halaman web biasa (cookie, string sesi, log, dll.).

Electron tidak mendukung enkripsi atau lokasi file yang dilindungi secara default, jadi meskipun kerangka kerja perangkat lunak serbaguna dan mudah digunakan, itu tidak dianggap cukup aman untuk mengembangkan produk misi-kritis kecuali kustomisasi ekstensif dan pekerjaan tambahan diterapkan.

Vectra menganalisis Microsoft Teams saat mencoba menemukan cara untuk menghapus akun yang dinonaktifkan dari aplikasi klien, dan menemukan ldb file dengan token akses dalam teks yang jelas.

“Setelah ditinjau, ditentukan bahwa token akses ini aktif dan bukan merupakan dump yang tidak disengaja dari kesalahan sebelumnya. Token akses ini memberi kami akses ke Outlook dan Skype API.” – vektor

Selain itu, para analis menemukan bahwa folder “Cookies” juga berisi token otentikasi yang valid, bersama dengan informasi akun, data sesi, dan tag pemasaran.

Token otentikasi pada direktori Cookies
Token otentikasi pada direktori Cookies (Vektra)

Akhirnya, Vectra mengembangkan eksploitasi dengan menyalahgunakan panggilan API yang memungkinkan pengiriman pesan ke diri sendiri. Menggunakan mesin SQLite untuk membaca database Cookie, para peneliti menerima token otentikasi sebagai pesan di jendela obrolan mereka.

Token diterima sebagai teks dalam obrolan pribadi penyerang
Token diterima sebagai teks dalam obrolan pribadi penyerang (Vektra)

Kekhawatiran terbesar adalah bahwa kelemahan ini akan disalahgunakan oleh malware pencuri informasi yang telah menjadi salah satu paylod yang paling umum didistribusikan dalam kampanye phishing.

Dengan menggunakan jenis malware ini, pelaku ancaman akan dapat mencuri token otentikasi Microsoft Teams dan login dari jarak jauh sebagai pengguna, melewati MFA dan mendapatkan akses penuh ke akun.

Pencuri informasi sudah melakukan ini untuk aplikasi lain, seperti Google Chrome, Microsoft Edge, Mozilla Firefox, Discord, dan banyak lagi.

Mitigasi risiko

Dengan patch yang kemungkinan tidak akan dirilis, rekomendasi Vectra adalah agar pengguna beralih ke versi browser klien Microsoft Teams. Dengan menggunakan Microsoft Edge untuk memuat aplikasi, pengguna mendapat manfaat dari perlindungan tambahan terhadap kebocoran token.

Para peneliti menyarankan pengguna Linux untuk pindah ke suite kolaborasi yang berbeda, terutama karena Microsoft mengumumkan rencana untuk berhenti mendukung aplikasi untuk platform pada bulan Desember.

Bagi mereka yang tidak dapat segera berpindah ke solusi lain, mereka dapat membuat aturan pemantauan untuk menemukan proses yang mengakses direktori berikut:

  • [Windows] %AppData%MicrosoftTeamsCookies
  • [Windows] %AppData%MicrosoftTeamsPenyimpanan Lokalleveldb
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Penyimpanan Lokal/leveldb
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Penyimpanan Lokal/leveldb

BleepingComputer telah menghubungi Microsoft tentang rencana perusahaan untuk merilis perbaikan untuk masalah ini dan akan memperbarui artikel ketika kami mendapatkan jawaban.

Perbarui 14/9/22 – Seorang juru bicara Microsoft mengirimi kami komentar berikut mengenai temuan Vectra:

Teknik yang dijelaskan tidak memenuhi standar kami untuk servis segera karena memerlukan penyerang untuk mendapatkan akses pertama ke jaringan target.

Kami menghargai kemitraan Vectra Protect dalam mengidentifikasi dan mengungkapkan masalah ini secara bertanggung jawab dan akan mempertimbangkan untuk mengatasinya dalam rilis produk mendatang.