вразливість Microsoft Teams – Токени авторизації у відкритому вигляді (2022)

Вразливість Microsoft Teams що впливає на всіх користувачів служби, які використовують програму на Windows, Mac або Linux.

Microsoft Teams це інтегрована пакетна платформа Microsoft 365. Службою користуються в усьому світі майже 300 мільйонів користувачів для відеоконференцій, голосових дзвінків, текстових повідомлень і обміну збереженими/файлами. Використовується особливо для бізнесу та office припускати Microsoft Teams для Windows, Linux si Mac він повинен мати стандарт безпеки, відповідний поточному часу. Однак, здається, що для Microsoft шифрування не має великого значення.


У серпні (2022) команда аналітиків безпеки виявила a вразливість Microsoft Teams яку Microsoft, очевидно, не складно вирішити до цього моменту.

вразливість Microsoft Teams – Незашифрований маркер автентифікації

Виявлена ​​проблема безпеки полягає в незашифрованому зберіганні токенів автентифікації в додатку Microsoft Teams для Windows, Mac si Linux. Точніше user authentication tokens зберігаються в cleartext.

вразливість Microsoft Teams - Токени автентифікації у відкритому вигляді (2022)
вразливість Microsoft Teams

Це означає, що якщо зловмисник має доступ до комп'ютера, на якому він встановлений Microsoft Teams, він зможе взяти облікові дані автентифікації з програми та підключитися до облікового запису жертви. Крім того, зловмисник захищає доступ до Microsoft Graph API навіть якщо обліковий запис захищено MFA (Multi-factor authentication). Для доступу до файлів, що містять маркери автентифікації, не потрібні розширені шкідливі програми чи спеціальні дозволи.

Ця вразливість (якщо її можна так назвати) може вплинути на багато компаній у всьому світі. Увімкнено Microsoft Teams відбуваються ділові бесіди, зустрічі в організаціях, командні робочі сесії, співбесіди при прийомі на роботу та надсилаються конфіденційні дані.

Найбільш тривожним є те, що про цю проблему повідомили Коннор Піплз (аналітик з кібербезпеки) з серпня 2022 року, і до цього часу (половина вересня 2022 року) Microsoft не вжила жодних дій.

Поки Microsoft не вирішить цю вразливість Microsoft Teams, користувачі можуть захистити себе за допомогою веб-версії програми.

У 2022 році, зберігаючи конфіденційні дані у відкритому тексті, навіть більше маркерів автентифікації, мені здається, що Microsoft використовує методи 90-х, коли Yahoo! Messenger вставити локальні розмови в текстовий формат. Microsoft пропонує щось додаткове. Зберігайте дані автентифікації.

Як записатися » Антивірус та безпека » вразливість Microsoft Teams – Токени авторизації у відкритому вигляді (2022)

Захоплюючись технологіями, я люблю тестувати та писати підручники про операційні системи macOS, Linux, Windows, про WordPress, WooCommerce і налаштувати веб-сервери LEMP (Linux, NGINX, MySQL і PHP). Я пишу далі StealthSettings.com з 2006 року, а через кілька років я почав писати на iHowTo.Tips підручники та новини про пристрої в екосистемі Apple: iPhone, iPad, Apple Годинник, HomePod, iMac, MacBook, AirPods та аксесуари.

Залишити коментар