Haavatavus Microsoft Teams mis mõjutab kõiki teenuse kasutajaid, kes kasutavad rakendust Windows, Mac või Linux.
Microsoft Teams on integreeritud pakettplatvorm Microsoft 365. Teenust kasutab kogu maailmas videokonverentside, häälkõnede, tekstisõnumite ja salvestatud/failide jagamiseks ligi 300 miljonit kasutajat. Eeldatakse, et seda kasutatakse eriti äris ja kontoris Microsoft Teams eest Windows, Linux si Mac sellel peaks olema praeguse aja jaoks asjakohane turvastandard. Siiski näib, et Microsofti jaoks on krüpteerimisel vähe tähtsust.
Augustis (2022) avastas turvaanalüütikute meeskond a haavatavus Microsoft Teams mille lahendamine pole Microsoftil ilmselt siiani keeruline.
haavatavus Microsoft Teams – krüptimata autentimisluba
Avastatud turvaprobleem seisneb autentimislubade krüptimata salvestamises rakenduses Microsoft Teams eest Windows, Mac si Linux. Täpsemalt user authentication tokens hoitakse sees cleartext.
See tähendab, et kui ründajal on juurdepääs arvutile, kuhu see on installitud Microsoft Teams, saab ta rakendusest võtta autentimismandaadid ja luua ühenduse ohvri kontoga. Lisaks kindlustab ründaja juurdepääsu Microsoft Graph API isegi kui konto on kaitstud MFA (Multi-factor authentication). Autentimismärke sisaldavatele failidele juurdepääsuks pole vaja täiustatud pahavara ega eriõigusi.
See haavatavus (kui ma saan seda nii nimetada) võib mõjutada paljusid ettevõtteid üle maailma. Peal Microsoft Teams toimuvad ärivestlused, organisatsioonisisesed koosolekud, meeskonnatöö istungid, tööintervjuud ja konfidentsiaalsete andmete saatmine.
Kõige murettekitavam on see, et sellest probleemist teatas Connor Peoples (küberturvalisuse analüütik) alates 2022. aasta augustist ja siiani (2022. aasta septembri pool) pole Microsoft midagi ette võtnud.
Kuni Microsoft selle haavatavuse lahendab Microsoft Teams, saavad kasutajad end kaitsta rakenduse veebiversiooni abil.
Mulle tundub, et 2022. aastal kasutab Microsoft 90ndate võtteid, hoides tundlikke andmeid selgetekstis ja veelgi rohkem autentimismärke. Yahoo! Messenger kleepige kohalikud vestlused tekstivormingus. Microsoftil on midagi lisavarustust. Hoidke autentimisandmed alles.
