La società di cybersicurezza Vectra ha individuato una grave falla di sicurezza inerente al software Microsoft Teams che potrebbe eventuali malintenzionati ad accedere ai token di autenticazione e ad account con l'autenticazione a più fattori (MFA) attiva. Come affermato dallo stesso Connor Peoples:
Questo attacco non richiede autorizzazioni speciali o malware avanzato per fare danni interni importanti. Prendendo il controllo di account critici, come il responsabile dell'ingegneria, l'amministratore delegato o il direttore finanziario di un'azienda, gli aggressori possono convincere gli utenti a eseguire operazioni dannose per l'organizzazione.
La vulnerabilità è stata trovata nell'agosto nel 2022 ed è stata segnalata subito a Microsoft. Tuttavia, il gigante di Redmond non ha dato particolare importanza al problema e non si è precipitata a realizzare una patch apposita.
Ricordiamo che Microsoft Team è un'applicazione Electron che viene eseguita in una finestra del browser, non supporta la crittografia o le posizione protette dei file di default. Pertanto, il framework, nonostante sia versatile e facile da usare, non è abbastanza sicuro per quelle applicazioni definite "mission-critical". Mentre cercava di trovare un modo per rimuovere gli account disattivati dalle applicazioni clienti, Vectra ha trovato un file Idb contenente i token di accesso in chiaro, che hanno permesso di accedere alle API di Outlook e Skype. Inoltre, anche la cartella "Cookies" conteneva token di autenticazione validi, oltre a informazioni sull'account, dati di sessione e tag di marketing.
Per dimostrare un potenziale attacco, Vectra ha realizzato un exploit che sfruttava una chiamata API per inviare messaggi a sé stessi. Utilizzando l'engine SQlite per leggere il database dei cookie, i ricercatori sono riusciti a ottenere i token di autenticazione all'interno della finestra di chat.
Interrogata a riguardo dai colleghi di Bleeping Computer, Microsoft ha affermato:
La tecnica descritta non soddisfa le nostre esigenze di assistenza immediata, in quanto richiede che un aggressore ottenga prima l'accesso a una rete di destinazione. Apprezziamo la collaborazione di Vectra Protect nell'identificare e divulgare responsabilmente questo problema e prenderemo in considerazione la possibilità di risolverlo in una futura release del prodotto.
In attesa di una patch, Vectra consiglia di usare il browser Microsoft Edge per eseguire l'applicazione di Microsoft Teams, così da beneficare di ulteriori protezioni contro i furti di token, mentre gli utenti Linux dovrebbero direttamente passare a un'altra applicazione, in quanto Microsoft interromperà il supporto del software per la piattaforma entro dicembre.