Güvenlik analistleri, Microsoft Teams için masaüstü uygulamasında, tehdit aktörlerinin kimlik doğrulama belirteçlerine ve çok faktörlü kimlik doğrulamanın (MFA) açık olduğu hesaplara erişmesine izin veren ciddi bir güvenlik açığı buldu.
Microsoft Teams, 365 ürün ailesine dahil olan ve 270 milyondan fazla kişi tarafından kısa mesaj alışverişi, video konferans ve dosya depolama için kullanılan bir iletişim platformudur.
Yeni keşfedilen güvenlik sorunu, uygulamanın Windows, Linux ve Mac sürümlerini etkiliyor ve Microsoft Teams’in kullanıcı kimlik doğrulama belirteçlerini erişimi korumadan açık metin olarak depolamasına atıfta bulunuyor.
Microsoft Teams’in kurulu olduğu bir sistemde yerel erişimi olan bir saldırgan, belirteçleri çalabilir ve bunları kurbanın hesabına giriş yapmak için kullanabilir.
Siber güvenlik şirketi Vectra’dan Connor Peoples bu haftaki bir raporda, “Bu saldırı, büyük dahili hasarlardan kurtulmak için özel izinler veya gelişmiş kötü amaçlı yazılımlar gerektirmiyor” dedi.
Araştırmacı, saldırganların “bir şirketin Mühendislik Başkanı, CEO veya CFO’su gibi kritik koltukların kontrolünü alarak, kullanıcıları kuruluşa zarar veren görevleri gerçekleştirmeye ikna edebileceğini” ekliyor.
Vectra araştırmacıları, sorunu Ağustos 2022’de keşfetti ve Microsoft’a bildirdi. Ancak Microsoft, sorunun ciddiyeti konusunda hemfikir olmadı ve yama kriterlerini karşılamadığını söyledi.
Sorun ayrıntıları
Microsoft Teams bir Electron uygulamasıdır, yani normal bir web sayfasının gerektirdiği tüm öğelerle (çerezler, oturum dizeleri, günlükler vb.) eksiksiz bir tarayıcı penceresinde çalışır.
Electron, varsayılan olarak şifrelemeyi veya korumalı dosya konumlarını desteklemez, bu nedenle yazılım çerçevesi çok yönlü ve kullanımı kolay olsa da, kapsamlı özelleştirme ve ek çalışma uygulanmadıkça, kritik görev ürünleri geliştirmek için yeterince güvenli kabul edilmez.
Vectra, devre dışı bırakılmış hesapları istemci uygulamalarından kaldırmanın bir yolunu bulmaya çalışırken Microsoft Teams’i analiz etti ve bir ldb açık metin olarak erişim belirteçleri içeren dosya.
“İnceleme sonucunda, bu erişim belirteçlerinin etkin olduğu ve önceki bir hatanın kazara bir dökümü olmadığı belirlendi. Bu erişim belirteçleri bize Outlook ve Skype API’lerine erişim sağladı.” – Vectra
Ayrıca analistler, “Çerezler” klasörünün hesap bilgileri, oturum verileri ve pazarlama etiketleriyle birlikte geçerli kimlik doğrulama belirteçleri içerdiğini keşfetti.
Son olarak, Vectra, kendine mesaj göndermeye izin veren bir API çağrısını kötüye kullanarak bir istismar geliştirdi. Çerezler veritabanını okumak için SQLite motorunu kullanan araştırmacılar, kimlik doğrulama belirteçlerini sohbet pencerelerinde bir mesaj olarak aldı.
En büyük endişe, bu kusurun, kimlik avı kampanyalarında en yaygın olarak dağıtılan paylodlardan biri haline gelen bilgi çalan kötü amaçlı yazılımlar tarafından kötüye kullanılmasıdır.
Bu tür kötü amaçlı yazılımları kullanan tehdit aktörleri, Microsoft Teams kimlik doğrulama belirteçlerini çalabilecek ve MFA’yı atlayarak ve hesaba tam erişim sağlayarak kullanıcı olarak uzaktan oturum açabilecek.
Bilgi hırsızları bunu Google Chrome, Microsoft Edge, Mozilla Firefox, Discord ve daha pek çok uygulama için zaten yapıyor.
Risk azaltma
Yayımlanması muhtemel olmayan bir yama ile Vectra’nın tavsiyesi, kullanıcıların Microsoft Teams istemcisinin tarayıcı sürümüne geçmeleridir. Uygulamayı yüklemek için Microsoft Edge’i kullanan kullanıcılar, belirteç sızıntılarına karşı ek korumalardan yararlanır.
Araştırmacılar, özellikle Microsoft’un Aralık ayına kadar platform için uygulamayı desteklemeyi bırakma planlarını duyurmasından bu yana, Linux kullanıcılarına farklı bir işbirliği paketine geçmelerini tavsiye ediyor.
Hemen farklı bir çözüme geçemeyenler için, aşağıdaki dizinlere erişen süreçleri keşfetmek için bir izleme kuralı oluşturabilirler:
- [Windows] %AppData%\Microsoft\Teams\Çerezler
- [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
- [macOS] ~/Library/Uygulama Desteği/Microsoft/Teams/Çerezler
- [macOS] ~/Library/Uygulama Desteği/Microsoft/Teams/Local Storage/leveldb
- [Linux] ~/.config/Microsoft/Microsoft Teams/Çerezler
- [Linux] ~/.config/Microsoft/Microsoft Teams/Yerel Depolama/leveldb
BleepingComputer, şirketin sorun için bir düzeltme yayınlama planları hakkında Microsoft ile iletişime geçti ve bir yanıt aldığımızda makaleyi güncelleyecektir.
14.09.22 Güncellemesi – Bir Microsoft sözcüsü, Vectra’nın bulgularıyla ilgili olarak bize şu yorumu gönderdi:
Açıklanan teknik, bir saldırganın önce bir hedef ağa erişmesini gerektirdiğinden, anında hizmet verme çıtamızı karşılamıyor.
Vectra Protect’in bu sorunu belirleme ve sorumlu bir şekilde açıklama konusundaki ortaklığını takdir ediyoruz ve gelecekteki bir ürün sürümünde ele almayı düşüneceğiz.