Microsoft Teams sta archiviando i token di autenticazione in chiaro

È stata rilevata una vulnerabilità di sicurezza in Microsoft Teams. Un rapporto pubblicato dalla società di sicurezza Vectra rivela che Microsoft Teams sta archiviando i token di autenticazione in chiaro.

Microsoft Teams sta archiviando i token di autenticazione in chiaro
Problema di sicurezza di Microsoft Teams

La vulnerabilità è presente nelle versioni desktop di Teams per Windows, macOS e Linux. Gli attori delle minacce che hanno accesso locale (fisico) o remoto al sistema di una vittima possono accedere alle credenziali degli utenti che hanno effettuato l’accesso, senza richiedere privilegi di amministratore. Gli hacker potrebbero aggirare i requisiti di autenticazione a 2 fattori anche se è stato abilitato nell’account e accedere ad altre app correlate come Skype e Outlook. Questo potrebbe essere potenzialmente sfruttato per impersonare altri utenti, manomettere i dati o progettare attacchi di phishing mirati.

Immagine per gentile concessione: Unsplash

Come è stata scoperta la vulnerabilità

I ricercatori di Vectra stavano lavorando a un modo per aiutare un cliente, che voleva eliminare i vecchi account (utenti inattivi) da Microsoft Teams. L’app non lo consente, quindi hanno cercato un modo diverso e hanno scoperto un paio di file. Uno di questi conteneva i token di autenticazione archiviati da Microsoft Teams e queste credenziali erano in chiaro (formato non crittografato). Anche l’altro file, che era un database di cookie del browser, aveva questi token.

L’azienda di sicurezza ha creato un proof-of-concept per verificare se la scappatoia potesse essere sfruttata per consentire l’accesso agli account utente. Ha utilizzato il motore SQLite per scaricare i dati in una cartella locale e da essa ha estratto il token Skype Access. Questo è stato quindi utilizzato per inviare un messaggio di prova, dimostrando che la vulnerabilità consente l’accesso ad altre app.
Tali tattiche dannose potrebbero essere utilizzate dagli hacker per penetrare nelle organizzazioni, fingendo di essere un CEO o CFO, per convincere altri utenti a svolgere attività che potrebbero danneggiare l’azienda.

L’ avviso di Vectra spiega che il framework Electron è da biasimare per il problema, poiché non supporta protocolli di sicurezza standard come la crittografia e le cartelle protette dal sistema pronte all’uso. Ars Technica sottolinea che tali vulnerabilità di sicurezza nelle app Electron non sono una novità, sono state segnalate su WhatsApp, Skype, Slack negli ultimi due anni. Vectra afferma che gli sviluppatori che utilizzano Electron devono utilizzare OAuth nelle loro app per archiviare i token di autenticazione in modo sicuro, ad esempio utilizzando KeyTar.

Microsoft dice che questo non è un problema serio

Microsoft ha riconosciuto la vulnerabilità, ma un portavoce dell’azienda ha dichiarato al blog di sicurezza Dark Reading di aver scelto di non correggere immediatamente il bug. Questo è quello che ha detto,

“La tecnica descritta non soddisfa la nostra barra per l’assistenza immediata in quanto richiede che un utente malintenzionato ottenga prima l’accesso a una rete di destinazione

In altre parole, dice che, a meno che la rete di un utente non sia già compromessa, localmente o tramite malware (che può essere utilizzato per attivare l’esecuzione di codice in remoto), questo non dovrebbe davvero essere una minaccia per la maggior parte degli utenti.

Connor Peoples, un architetto della sicurezza di Vectra Security, ha affermato che dal momento che Microsoft si sta spostando verso le app Web progressive, ciò mitigherebbe i problemi presenti in Electron. La società di sicurezza ha suggerito agli utenti di non utilizzare l’app desktop Microsoft Teams fino a quando la vulnerabilità non è stata corretta e consiglia invece di utilizzare Teams tramite un browser Web.