Teams Schwachstelle
Vectra erläutert Microsoft Teams aktuelle Schwachstelle
Teams speichert Authentifizierungs-Token als Klartext in Windows, Linux und Macs, ohne den Zugriff darauf zu schützen
IT-Sicherheitsexperten von Vectra AI erläutern eine schwerwiegende Sicherheitslücke in der Desktop-Anwendung für Microsoft Teams. Diese ermöglicht Angreifern Zugriff auf Authentifizierungs-Token und Konten mit aktivierter Multi-Faktor-Authentifizierung (MFA). Microsoft Teams ist eine Kommunikationsplattform, die zur 365-Produktfamilie gehört und von mehr als 270 Millionen Menschen zum Austausch von Textnachrichten, für Videokonferenzen und zum Speichern von Dateien genutzt wird. Die neu entdeckte Sicherheitslücke betrifft die Versionen für Windows, Linux und Mac. Das Problem ist, dass Microsoft Teams die Authentifizierungs-Token der Benutzer im Klartext speichert, ohne den Zugriff darauf zu schützen. Die Forscher von Vectra entdeckten dies bereits im August 2022 und meldeten es an Microsoft. Eine CVE-Nummer (Common Vulnerabilities and Exposures) wurde bislang jedoch nicht vergeben. Microsoft stimmte der Schwere des Problems nicht zu und sagte, dass es die Kriterien für ein Patching nicht erfüllt.
Sicherheitslücke ermöglicht Datenmanipulation, Spear-Phishing und Identitätsmissbrauch
Nachforschungen von Vectra haben jedoch ergeben, dass diese Sicherheitslücke mehrere Formen von Angriffen, darunter Datenmanipulation, Spear-Phishing und Identitätsmissbrauch ermöglicht. Mit der richtigen Social-Engineering-Taktik könnte ein Angriff zu einer Unterbrechung des Geschäftsbetriebs führen. Der Angreifer benötigt Zugriff auf das lokale Dateisystem, aber jede Schwachstelle, die einen Dateizugriff ermöglicht, kann zum Abgreifen von Tokens genutzt werden. Vectra analysierte Microsoft Teams zuvor auf der Suche nach einer Möglichkeit, deaktivierte Konten aus Client-Anwendungen zu entfernen, und fand eine ldb-Datei mit Zugriffstokens im Klartext. Microsoft Teams ist eine Electron-Anwendung, d. h., sie wird in einem Browserfenster ausgeführt und verfügt über alle Elemente, die für eine normale Webseite erforderlich sind (Cookies, Sitzungszeichenfolgen, Protokolle usw.). Electron unterstützt standardmäßig keine Verschlüsselung oder geschützte Dateispeicherorte. Das Software-Framework ist zwar vielseitig und einfach zu verwenden, gilt aber nicht als sicher genug für geschäftskritische Produkte, es sei denn, es werden umfangreiche Anpassungen und zusätzliche Arbeiten vorgenommen.
„Microsoft unternimmt große Anstrengungen, um sich in Richtung Progressive Web Apps zu bewegen, was viele der Bedenken, die Electron derzeit mit sich bringt, entschärfen würde. Anstatt eine neue Architektur der Electron-App zu entwerfen, gehe ich davon aus, dass Microsoft mehr Ressourcen in die zukünftige Form steckt. Dies wird bereits durch die Einstellung der Unterstützung für die Linux-Desktop-App in diesem Jahr deutlich“, erklärt Andreas Riepen, Head Central and Eastern Europe bei Vectra AI.
Die Sicherheitslücke scheint unter die zweite Klasse von API-Schwachstellen aus der OWASP Top-10 API Security List zu fallen. Owasp hat keine klare Empfehlung für diesen Anwendungsfall, aber die sichere Speicherung von Zugangsdaten ist eine bewährte Sicherheitspraxis, die hier verletzt wird. Ein Angreifer mit lokalem Zugriff auf ein System, auf dem Microsoft Teams installiert ist, könnte somit die Tokens stehlen und sie verwenden, um sich beim Konto des Opfers anzumelden.
„Bei der Überprüfung hat sich gezeigt, dass diese Zugangstokens aktiv waren und nicht versehentlich durch einen früheren Fehler verloren gingen. Die Tokens ermöglichten uns den Zugriff auf die Outlook- und Skype-APIs“, so Riepen. Darüber hinaus entdeckten die Analysten, dass der Ordner „Cookies“ ebenfalls gültige Authentifizierungstoken sowie Kontoinformationen, Sitzungsdaten und Marketing-Tags enthielt. Er fügt hinzu: „Für diesen Angriff sind keine besonderen Berechtigungen oder fortgeschrittene Malware erforderlich, um großen internen Schaden anzurichten. Indem sie die Kontrolle über kritische Positionen – wie die des Head of Engineering, CEO oder CFO – übernehmen, können Angreifer Benutzer dazu bringen, Aufgaben auszuführen, die dem Unternehmen schaden.“
Schließlich entwickelte Vectra einen Exploit, indem es einen API-Aufruf missbrauchte, der das Senden von Nachrichten an sich selbst ermöglicht. Mithilfe der SQLite-Engine zum Auslesen der Cookies-Datenbank erhielten die Forscher die Authentifizierungstokens als Nachricht in ihrem Chat-Fenster. Die größte Sorge besteht darin, dass diese Schwachstelle mittels Information-Stealer-Malware missbraucht wird, die sich zu einer der am häufigsten verbreiteten Paylods in Phishing-Kampagnen entwickelt hat. Mit dieser Art von Malware können Angreifer Microsoft Teams-Authentifizierungstoken stehlen und sich aus der Ferne als Benutzer anmelden, um die MFA zu umgehen und vollen Zugriff auf das Konto zu erhalten. Informationsdiebe tun dies bereits für andere Anwendungen wie Google Chrome, Microsoft Edge, Mozilla Firefox, Discord und viele andere.
Da eine Veröffentlichung eines Patches unwahrscheinlich ist, empfiehlt Vectra den Nutzern, auf die Browser-Version des Microsoft Teams-Clients umzusteigen. Durch die Verwendung von Microsoft Edge zum Laden der Anwendung profitieren die Nutzer von zusätzlichen Schutzmaßnahmen gegen Token-Lecks. Linux-Nutzern raten die Forscher, auf eine andere Collaboration-Suite umzusteigen, zumal Microsoft ohnehin angekündigt hat, den Support der Anwendung für diese Plattform im Dezember einzustellen.
