Daha önce, Ağustos 2022’de Vectra araştırmacıları, dosya sistemi erişimine sahip saldırganların oturum açmış herhangi bir Microsoft Teams kullanıcısının kimlik bilgilerini çalmasına izin veren bir saldırı yolu keşfetti.
Raporlar, saldırganların bu dosyaları okumak için izin gerektirmediğini ve bunun Windows, Mac ve Linux için tüm ticari ve GCC Desktop Teams istemcilerini etkilediğini söylüyor. Vectra bu sorunu Microsoft’a bildirdi, ancak acil servis için barlarını karşılamadığını söylediler.
Microsoft Teams için Masaüstü Uygulamasında Ciddi Güvenlik Kusurları
Microsoft Teams, Microsoft 365 ürün ailesinin bir parçası olarak Microsoft tarafından geliştirilen tescilli bir iş iletişimi platformudur. Ekipler öncelikle, çalışma alanı sohbeti ve video konferans, dosya depolama ve uygulama entegrasyonu sunan benzer hizmet Slack ile rekabet eder.
Genellikle Microsoft Teams Uygulaması, kimlik doğrulama belirteçlerini ‘açık metin’ içinde saklar ve bu belirteçlerle saldırganlar, Microsoft Teams istemcisi aracılığıyla olası herhangi bir eylem için belirteç sahibinin kimliğini tahmin edebilir.
Ayrıca Vectra araştırmacıları, çalınan tokenlerin tehdit aktörlerinin ‘MFA etkin hesaplara’ saldırmasına ve bir ‘MFA baypası’ oluşturmasına izin verdiğini söylüyor.
Araştırmacılar, güvenlik açığının temel nedenlerinden birinin, Microsoft Teams’in Electron’un özelleştirilmiş bir tarayıcı üzerinden çalışan ve geliştirmeyi kolaylaştıran bir web uygulaması oluşturarak çalıştığı Electron tabanlı bir uygulama olması olduğunu söylüyor.
Ancak bir web tarayıcısını çalıştırmak için tanımlama bilgileri, oturum dizeleri ve günlükler gibi tarayıcı verilerine ihtiyaç vardır. Ayrıca, şifreleme gibi standart tarayıcı denetimlerini desteklemez ve sistem korumalı dosya konumları Electron tarafından desteklenmez.
“İnceleme üzerine, bu erişim belirteçlerinin aktif olduğu ve önceki bir hatanın kazara dökümü olmadığı belirlendi. Bu erişim belirteçleri bize Outlook ve Skype API’lerine erişim sağladı.” – Vectra
Uzmanlar, SQLite’ın kurulum gerektirmediği SQLite motorunu kullandı, bu nedenle istismar, SQLite’ı yerel bir klasöre indirir ve araştırmacıların mesaj göndermek için gerekli Skype Erişim belirtecini çıkardığı Çerezler DB’sini okumak için çalıştırır.
Vectra, “Masaüstü uygulaması, modern tarayıcıların aksine, tanımlama bilgisi verilerini korumak için ek güvenlik kontrolleri bulunmadığından, saldırganların kimlik bilgilerini amaçlanan bağlamları dışında kullanma fırsatları yaratır”,
Uzmanlar ayrıca saldırganların bir kuruluş içinde iletişim kurabileceğini belirtiyor. Bir şirketin Mühendislik Başkanı, CEO veya CFO’su gibi kritik koltukların tam kontrolünü üstlenen saldırganlar, kullanıcıları kuruluşa zarar veren görevleri gerçekleştirmeye ikna edebilir.
Öneri
Araştırmacı, belirteç sızıntılarını korumak için birden çok işletim sistemi düzeyinde denetime sahip olan Microsoft Edge içindeki web tabanlı Teams istemcisinin kullanılmasını önerir. Linux kullanıcıları, özellikle Microsoft’un Aralık ayına kadar platform için uygulamayı desteklemeyi bırakma planlarını duyurmasından bu yana farklı bir işbirliği paketine geçiyor.
Azure Active Directory Güvenliği – Ücretsiz E-Kitap İndirin