De desktop-app van Teams slaat authenticatietokens op zonder toegangsbeveiliging

Home » Apps

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Uitgegeven op

by Sharron Bennet 

gepubliceerd op

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Beveiligingsexperts van het cyberbeveiligingsbedrijf Vectra meldden een bevinding die wijst op een ernstig beveiligingsprobleem in de Microsoft Teams desktop-app op Windows, Linux en Mac. Volgens de groep kunnen kwaadwillenden de multi-factor authenticatiebescherming van gebruikers omzeilen door deze kwetsbaarheid door de authenticatietokens te stelen, waardoor ze toegang krijgen tot het account van de gebruiker. (via De computer laten leeglopen)

Vectra heeft een ldb-bestand gevonden tijdens een poging om gedeactiveerde accounts uit client-apps te verwijderen. Volgens de analisten kwam het bestand met toegangstokens in leesbare tekst. Dit geeft duidelijk aan dat Microsoft Teams de gebruikersauthenticatietokens opslaat zonder de juiste bescherming bij het openen ervan. "Bij controle werd vastgesteld dat deze toegangstokens actief waren en niet een onbedoelde dump van een eerdere fout", verklaarde Vectra. "Deze toegangstokens gaven ons toegang tot de Outlook- en Skype-API's."

Dit kan een serieus probleem zijn als een slechte acteur al lokaal toegang heeft tot het systeem waar Teams is geïnstalleerd. Door deze kwetsbaarheid blijven de tokens onbeschermd. En met verschillende informatie-stelende malware die nu overal rondsluipt, kan dit gevaar betekenen voor gebruikers van Microsoft Teams. "Deze aanval vereist geen speciale machtigingen of geavanceerde malware om grote interne schade op te lopen", voegde Connor Peoples van Vectra eraan toe.

Vectra vond het probleem vorige maand en meldde het onmiddellijk aan Microsoft. Echter, net als de "onveilige" Teams-ontwerpelementen gedeeld door cybersecurity-consultant Bobby Rauch in mei en juni 2022, verwierp Microsoft het idee van ernst die door Vectra werd geclaimd. 

"De beschreven techniek voldoet niet aan onze lat voor onmiddellijk onderhoud, omdat een aanvaller eerst toegang moet krijgen tot een doelnetwerk", vertelde Microsoft aan Bleeping Computer toen hem om commentaar werd gevraagd. "We waarderen de samenwerking van Vectra Protect bij het identificeren en op verantwoorde wijze bekendmaken van dit probleem en zullen overwegen dit in een toekomstige productrelease aan te pakken."

Meer over de onderwerpen: linux, Mac, Microsoft Teams, beveiligingslek, ruiten

Sharron Bennet

Sharron Bennet Schild

Verslaggever

Sharron is een technologieverslaggever bij mspoweruser.com. Ze behandelt het meeste technische nieuws van merken als Sony, Samsung, Google en meer.