据网络安全公司 Vectra 的分析师称,Microsoft Teams 中存在一个巨大的漏洞,如果黑客得到它,无数用户可能会受到影响。
该程序有一个缺陷,使攻击者有可能窃取用户的登录凭据并登录他们的帐户。不幸的是,Microsoft 目前不打算修补此问题,因此请继续阅读以确保您免受此意外Microsoft Teams 问题的影响。
这个漏洞于 2022 年 8 月首次发现,非常严重,但也不太容易执行。它适用于 Microsoft Teams 软件的桌面版本(因此不适用于浏览器版本)并影响 Windows、Linux 和 Mac 上的用户。
这一切都归结为 Teams 以明文形式存储用户身份验证令牌的方式,没有任何额外的保护。如果不依赖一个关键因素,那将是灾难性的:攻击者需要对安装了 Microsoft Teams 的系统进行本地访问。
假设攻击者确实具有对网络的本地访问权限,他们可以窃取身份验证令牌并登录受害者的帐户。
来自 Vectra 的研究员 Connor Peoples 表示,威胁远不止一个账户被盗。它允许攻击者劫持可能破坏整个组织运营的帐户。
“[控制]关键席位——比如公司的工程主管、首席执行官或首席财务官——攻击者可以说服用户执行对组织有害的任务,”Peoples 在报告中说。
这一切如何运作? Bleeping Computer更详细地解释了它,但简短的故事是 Microsoft Teams 是一个 Electron 应用程序,并带有任何常规网页所需的所有元素,例如 cookie 和会话字符串。 Electron 不支持文件加密或建立受保护的位置,这就是用户凭据没有得到应有的保护的原因。
在研究过程中,Vectra 发现了一个可以以明文形式访问用户令牌的文件。 “经过审查,确定这些访问令牌是活动的,而不是意外转储先前的错误。这些访问令牌使我们能够访问 Outlook 和 Skype API,”该公司的报告称。
在进一步研究中发现了更多数据,包括有效的身份验证令牌和帐户信息。 Vectra 还找到了一种利用该应用程序的方法,并能够在自己的聊天窗口中接收令牌。
令人担忧的是,这个漏洞目前已经存在,但微软并不认为这是一个足够大的威胁,无法将其作为优先事项进行修补。微软发言人告诉 Bleeping Computer:“所描述的技术不符合我们的即时服务标准,因为它需要攻击者首先获得对目标网络的访问权限。我们感谢 Vectra Protect 在识别和负责任地披露此问题方面的合作,并将考虑在未来的产品发布中解决该问题。”
同时,如果你担心 Teams 帐户的安全性,最好切换到 Teams 的浏览器版本,而不是桌面客户端。但是,建议 Linux 用户直接切换到不同的应用程序——尤其是因为微软计划在今年年底之前停止支持 Linux 版本的 Teams。