一個漏洞 Microsoft Teams 這會影響使用該應用程序的所有服務用戶 Windows, Mac 或 Linux.
Microsoft Teams 是一個集成的封裝平台 Microsoft 365. 該服務在全球範圍內被近 300 億用戶用於視頻會議、語音通話、短信和存儲/文件共享。 它應該特別用於商業和辦公 Microsoft Teams 為 Windows, Linux si Mac 它應該有一個與當前時代相關的安全標準。 但是,對於微軟來說,加密似乎並不重要。
2022 年 XNUMX 月,一個安全分析師團隊發現了一個 漏洞 Microsoft Teams 顯然,直到現在,微軟還沒有復雜地解決這個問題。
漏洞 Microsoft Teams – 未加密的身份驗證令牌
發現的安全問題在於應用程序中身份驗證令牌的未加密存儲 Microsoft Teams 為 Windows, Mac si Linux. 更確切地說 user authentication tokens 被保存在 cleartext.
這意味著如果攻擊者可以訪問安裝它的計算機 Microsoft Teams,他將能夠從應用程序中獲取身份驗證憑據並連接到受害者的帳戶。 此外,攻擊者可以保護訪問 Microsoft Graph API 即使該帳戶受到保護 MFA (Multi-factor authentication)。 訪問包含身份驗證令牌的文件不需要高級惡意軟件或特殊權限。
這個漏洞(如果我可以這麼說的話)會影響世界各地的許多公司。 上 Microsoft Teams 有商業對話、組織內的會議、團隊工作會議、舉行工作面試和發送機密數據。
最令人擔憂的部分是這個問題被報告了 康納人民 (網絡安全分析師)自 2022 年 2022 月以來,直到現在(XNUMX 年 XNUMX 月的一半)微軟尚未採取任何行動。
直到微軟解決這個漏洞 Microsoft Teams,用戶可以使用應用程序的網絡版本保護自己。
在 2022 年,以明文形式保存敏感數據,甚至更多的身份驗證令牌,在我看來,微軟正在使用 90 年代的技術,當時 Yahoo! Messenger 以文本格式粘貼本地對話。 微軟提供了一些額外的東西。 保留認證數據。
