vulnerabilidade Microsoft Teams – Tokens de autenticação em texto simples (2022)

Uma vulnerabilidade Microsoft Teams que afeta todos os usuários do serviço que usam o aplicativo em Windows, Mac ou Linux.

Microsoft Teams é uma plataforma de pacotes integrada Microsoft 365. O serviço é usado globalmente por quase 300 milhões de usuários para videoconferência, chamadas de voz, mensagens de texto e compartilhamento de arquivos/armazenados. Deve ser usado especialmente para negócios e escritórios Microsoft Teams para Windows, Linux si Mac deve ter um padrão de segurança relevante para os tempos atuais. No entanto, parece que para a criptografia da Microsoft é de pouca importância.


Em agosto (2022), uma equipe de analistas de segurança descobriu um vulnerabilidade Microsoft Teams que aparentemente a Microsoft não tem complicado de resolver até o momento.

vulnerabilidade Microsoft Teams – O token de autenticação não criptografado

O problema de segurança descoberto consiste no armazenamento não criptografado de tokens de autenticação no aplicativo Microsoft Teams para Windows, Mac si Linux. Mais exatamente user authentication tokens são mantidos em cleartext.

vulnerabilidade Microsoft Teams - Tokens de autenticação em texto simples (2022)
vulnerabilidade Microsoft Teams

Isso significa que, se um invasor tiver acesso a um computador no qual está instalado Microsoft Teams, ele poderá pegar as credenciais de autenticação do aplicativo e se conectar à conta da vítima. Além disso, o invasor protege o acesso a Microsoft Graph API mesmo que a conta esteja protegida com MFA (Multi-factor authentication). Nenhum malware avançado ou permissões especiais são necessários para acessar arquivos que contenham tokens de autenticação.

Essa vulnerabilidade (se posso chamar assim) pode afetar muitas empresas ao redor do mundo. Sobre Microsoft Teams há conversas de negócios, reuniões dentro das organizações, sessões de trabalho em equipe, entrevistas de emprego são realizadas e dados confidenciais são enviados.

A parte mais preocupante é que esse problema foi relatado por Povos Connor (analista de segurança cibernética) desde agosto de 2022 e até agora (meia de setembro de 2022) a Microsoft não tomou nenhuma medida.

Até que a Microsoft resolva esta vulnerabilidade Microsoft Teams, os usuários podem se proteger usando a versão web do aplicativo.

Em 2022, mantendo dados confidenciais em texto simples, ainda mais tokens de autenticação, parece-me que a Microsoft está usando as técnicas dos anos 90 quando Yahoo! Messenger cole conversas locais em formato de texto. A Microsoft vem com algo extra. Mantenha os dados de autenticação.

Apaixonado por tecnologia, escrevo com prazer no StealthSettings.com desde 2006. Tenho uma ampla experiência em sistemas operacionais: macOS, Windows e Linux, assim como em linguagens de programação e plataformas de blogs (WordPress) e para lojas online (WooCommerce, Magento, PrestaShop).

Como » AntiVírus e Segurança » vulnerabilidade Microsoft Teams – Tokens de autenticação em texto simples (2022)
Deixe um comentário