Yeni bir teknik, bilgisayar korsanlarının Windows’taki Microsoft Teams’ten şifrelenmiş kimlik doğrulama belirteçlerini çıkarmasına olanak tanıyarak sohbetlere, e-postalara ve SharePoint dosyalarına yetkisiz erişimi mümkün kılıyor.
Brahim El Fikhi, 23 Ekim 2025 tarihli bir blog yazısında, Chromium benzeri bir Çerez veritabanında saklanan bu belirteçlerin Windows’un Veri Koruma API’si (DPAPI) kullanılarak şifresinin nasıl çözülebileceğini açıklıyor.
Bu yöntem, yakın zamanda yapılan güvenlik iyileştirmelerini atlayarak kurumsal ortamlarda yatay hareket ve veri sızıntısı risklerini ortaya çıkarıyor.
Bu erişim belirteçleri, kurbanlar adına Teams mesajları veya e-postalar göndermek gibi, saldırganların sosyal mühendislik veya kalıcılık amacıyla yararlanabileceği kimliğe bürünme yetenekleri sağlar.
El Fikhi’nin masaüstü Office uygulamalarına, özellikle de Teams’e odaklanması, login.microsoftonline.com aracılığıyla kimlik doğrulamayı yöneten yerleşik tarayıcı bileşenlerindeki güvenlik açıklarını vurguluyor. Microsoft’un ekosistemi, Ekim 2025’in başlarından itibaren Teams’e yönelik tehditlerde görülen son kesintilerle birlikte birincil hedef olmaya devam ediyor.
İlk Microsoft Teams sürümleri, kimlik doğrulama çerezlerini SQLite dosyasında %AppData%\Local\Microsoft\Teams\Cookies konumunda düz metin olarak saklıyordu; bu, 2022’de Vectra AI tarafından ortaya çıkarılan ve MFA’yı atlayarak Graph API’sinin kötüye kullanılması için belirteçleri toplamak üzere basit dosya okumalarına izin veren bir kusurdu.
Güncellemeler, disk tabanlı hırsızlığı önlemek için Chromium’un çerez korumasıyla uyumlu şifrelenmiş formatları benimseyerek bu düz metin depolamayı ortadan kaldırdı.
Ancak bu değişim yeni saldırı vektörlerini de beraberinde getiriyor. Tokenlar artık veri izolasyonu için anahtarları kullanıcı veya makine bağlamlarına bağlayan bir Windows API’si olan DPAPI tarafından korunan AES-256-GCM şifrelemesini kullanıyor.
Bu, kullanıcının oturum açma kimlik bilgilerine dayanır ve yerel erişimle şifre çözmeyi mümkün kılar, ancak ayrıcalık yükseltmeden uzaktan zorlanır. Chrome gibi tarayıcılardaki benzer korumalar, Teams’in msedgewebview2.exe işleminde de tekrarlanan bir model olan anahtar çıkarma yoluyla kırıldı.
Microsoft Teams Erişim Tokenları Sızdırıldı
Belirteç konumlarını belirlemek için araştırmacılar, oturum açma sırasında ms-teams.exe tarafından oluşturulan msedgewebview2.exe yerleşik Edge WebView2 tarayıcısındaki WriteFile işlemlerini filtreleyen SysInternals’ın ProcMon’unu kullandı.
Bu işlem, ana yürütülebilir dosyadan farklı olarak Çerez veritabanına yazar ve günlüklerin ötesinde hassas dosya G/Ç’sini önler.
SQLite Çerezleri tablosu kritik girişleri içerir: ana bilgisayar_anahtarı (örneğin, takımlar.microsoft.com), ad (çerez tanımlayıcı) ve Chromium’un sürüm 10 şifrelemesini belirten “v10” (0x76 0x31 0x30) ön ekiyle şifrelenmiş_değer.
Şema şu şekilde ayrıştırılır: 3 baytlık etiket, 12 baytlık tek seferlik (başlatma vektörü) ve AES şifreli yük. Ana anahtar %AppData%\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams\EBWebView\Local State konumundadır; os_crypt.encrypted_key altındaki bir JSON dosyasıdır; kod çözme sonrasında “DPAPI” ile başlayan ve kullanıcıya özel DPAPI blob’ları tarafından korunan bir Base64 dizesidir. %AppData%\Microsoft\Protect.
Saldırganın bağlamının kullanıcının bağlamıyla eşleşmesini gerektiren CryptUnprotectData gibi Windows API’lerini kullanarak anahtarı çıkarın ve DPAPI korumasını kaldırın (örneğin, kimlik bilgisi dökümü için mimikatz yoluyla).
Ardından, anahtarla birlikte AES-256-GCM’yi yüke bir kez uygulayarak kimlik doğrulama jetonunu sağlayın. El Fikhi’nin Rust PoC’si, işlemin özel bir kilidi olması nedeniyle standart bir sınırlama olan, dosyanın kilidini açmak için Teams.exe sonlandırmasından sonra belirteçleri boşaltarak bunu otomatikleştirir. Chrome’dakiler gibi Python eşdeğerleri de benzer mantığı göstermektedir:
Tarayıcı adli bilimlerinden uyarlanan bu kod doğrudan Teams için geçerlidir. GitHub PoC (teams_dump), veritabanını listeler ve şifresini çözer, JSON’un Teams.microsoft.com gibi ana bilgisayarlarla ve MUIDB veya TSREGIONCOOKIE gibi çerezlerle çıktısını alır.
Azaltmalar
GraphSpy gibi araçlar, Teams izinleriyle (örneğin, Chat.ReadWrite, Mail.Send) sınırlı olmak üzere, SharePoint veya e-postaları okuyarak kapsamlı kötüye kullanım için belirteci alır. Microsoft’un Birincil Yenileme Belirteci (PRT) bununla bağlantılı olup sorunsuz SSO’yu mümkün kılar ancak uygulamalar genelinde belirtecin yeniden kullanım risklerini artırır.
Azaltıcı önlemler arasında ms-teams.exe öldürmelerinin veya olağandışı ProcMon modellerinin izlenmesi, uygulamaya bağlı şifrelemenin uygulanması ve yerel depolamadan kaçınmak için web tabanlı Teams’in tercih edilmesi yer alır.
Entra ID politikaları aracılığıyla belirteçleri döndürün ve anormallikler için API günlüklerini denetleyin. Teams tehditleri geliştikçe DPAPI uyumlu EDR kuralları hayati öneme sahiptir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
