{"id":5436,"date":"2022-09-14T16:11:58","date_gmt":"2022-09-14T19:11:58","guid":{"rendered":"https:\/\/categoriaoutros.com.br\/?p=5436"},"modified":"2022-09-14T17:34:21","modified_gmt":"2022-09-14T20:34:21","slug":"o-microsoft-teams-guarda-tokens-de-autenticacao-em-texto-puro-sem-criptografia","status":"publish","type":"post","link":"https:\/\/categoriaoutros.com.br\/?p=5436","title":{"rendered":"Vulnerabilidade: O Microsoft Teams Guarda Tokens de Autentica\u00e7\u00e3o em Texto Puro, Sem Criptografia"},"content":{"rendered":"\n
\"\"\/<\/figure>\n\n\n\n

Segundo o site bleepingcomputer<\/a>, O Microsoft Teams armazena tokens de autentica\u00e7\u00e3o como texto n\u00e3o criptografado no Windows, Linux, Macs.<\/p>\n\n\n\n

Analistas de seguran\u00e7a encontraram uma vulnerabilidade grave no aplicativo Microsoft Teams<\/strong> da Microsoft que fornece aos agentes de amea\u00e7as(threat actors)<\/a> acesso a tokens de autentica\u00e7\u00e3o<\/a> e contas com autentica\u00e7\u00e3o multifator(MFA) <\/a>ativada.<\/p>\n\n\n\n

O que \u00e9 Microsfot Teams?<\/strong> O Microsoft Teams \u00e9 uma plataforma de comunica\u00e7\u00e3o, usada por mais de 270 milh\u00f5es de pessoas para troca de mensagens de texto, videoconfer\u00eancia e armazenamento de arquivos.<\/p>\n\n\n\n

O que \u00e9 um agente\/ator de amea\u00e7a<\/strong>? Um ator de amea\u00e7a<\/strong> \u00e9 uma entidade respons\u00e1vel por um incidente de seguran\u00e7a cibern\u00e9tica. O termo ator de amea\u00e7a \u00e9 diferente do termo \u201chacker\u201d porque, ao contr\u00e1rio de um hacker, um ator de amea\u00e7as n\u00e3o tem necessariamente habilidades t\u00e9cnicas ou de hackers. <\/p>\n\n\n\n

O que \u00e9 multifator(MFA)<\/a>?<\/strong> A autentica\u00e7\u00e3o multifator (MFA) \u00e9 um m\u00e9todo de autentica\u00e7\u00e3o que exige que o usu\u00e1rio forne\u00e7a dois ou mais m\u00e9todos ou etapas de autentica\u00e7\u00e3o(dois ou mais fatores de verifica\u00e7\u00e3o) para obter acesso a um programa, servi\u00e7o, aplicativo, uma conta online ou uma VPN.<\/p>\n\n\n\n

O que \u00e9 Token?<\/strong> Em Programa\u00e7\u00e3o, token \u00e9 uma cadeia de caracteres. Por exemplo, c4724e490407a1770efcc4e e serve para identificar um usu\u00e1rio logado num sistema.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Essa Falha \u00e9 Muito Grave!<\/h2>\n\n\n\n

O problema de seguran\u00e7a rec\u00e9m-descoberto afeta as vers\u00f5es do aplicativo para Windows, Linux e Mac e se refere ao Microsoft Teams que armazena tokens de autentica\u00e7\u00e3o do usu\u00e1rio em texto n\u00e3o criptografado sem proteger o acesso a eles.<\/p>\n\n\n\n

Um invasor com acesso local em um sistema onde o Microsoft Teams est\u00e1 instalado pode roubar os tokens e us\u00e1-los para fazer login na conta da v\u00edtima.<\/p>\n\n\n\n

Invasores podem se passar por pessoas importantes em uma empresa e podem convencer os usu\u00e1rios a realizar tarefas prejudiciais \u00e0 organiza\u00e7\u00e3o.<\/p>\n\n\n\n

Os pesquisadores da Vectra descobriram o problema em agosto de 2022 e o relataram \u00e0 Microsoft. No entanto, a Microsoft n\u00e3o concordou com a gravidade do problema e disse que n\u00e3o atende aos crit\u00e9rios de corre\u00e7\u00e3o.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Mais Detalhes Sobre o Problema<\/h2>\n\n\n\n

O Microsoft Teams \u00e9 um aplicativo Electron, o que significa que \u00e9 executado em uma janela do navegador, completo com todos os elementos exigidos por uma p\u00e1gina da Web comum (cookies, strings de sess\u00e3o, logs etc.).<\/p>\n\n\n\n


O Electron n\u00e3o \u00e9 compat\u00edvel com criptografia ou locais de arquivos protegidos por padr\u00e3o, portanto, embora a estrutura do software seja vers\u00e1til e f\u00e1cil de usar, ela n\u00e3o \u00e9 considerada segura o suficiente para desenvolver produtos de miss\u00e3o cr\u00edtica, a menos que uma ampla personaliza\u00e7\u00e3o e trabalho adicional sejam aplicados.<\/p>\n\n\n\n

A Vectra analisou o Microsoft Teams enquanto tentava encontrar uma maneira de remover contas desativadas de aplicativos clientes e encontrou um arquivo ldb com tokens de acesso em texto n\u00e3o criptografado.<\/p>\n\n\n\n

Veja o que Vectra disse:<\/p>\n\n\n\n

“Ap\u00f3s an\u00e1lise, foi determinado que esses tokens de acesso estavam ativos e n\u00e3o um despejo acidental de um erro anterior. Esses tokens de acesso nos deram acesso \u00e0s APIs do Outlook e do Skype.”<\/p>Vectra<\/cite><\/blockquote>\n\n\n\n

Al\u00e9m disso, os analistas descobriram que a pasta “Cookies” tamb\u00e9m continha tokens de autentica\u00e7\u00e3o v\u00e1lidos, juntamente com informa\u00e7\u00f5es da conta, dados de sess\u00e3o e tags de marketing.<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Por fim, a Vectra desenvolveu um exploit usando uma chamada de API que permite enviar mensagens para si mesmo. Usando o SQLite para ler o banco de dados de cookies, os pesquisadores receberam os tokens de autentica\u00e7\u00e3o como uma mensagem em sua janela de bate-papo<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

A maior preocupa\u00e7\u00e3o \u00e9 que essa falha seja abusada por malware de roubo de informa\u00e7\u00f5es que se tornou um dos paylods mais comumente distribu\u00eddos em campanhas de phishing.<\/p>\n\n\n\n

Usando esse tipo de malware, os agentes de amea\u00e7as poder\u00e3o roubar os tokens de autentica\u00e7\u00e3o do Microsoft Teams e fazer login remotamente como usu\u00e1rio, ignorando a MFA e obtendo acesso total \u00e0 conta.<\/p>\n\n\n\n

Mitigando o Risco<\/h2>\n\n\n\n

Como parece que a Microsoft dificilmente lan\u00e7ar\u00e1 um patch, a recomenda\u00e7\u00e3o da Vectra \u00e9 que os usu\u00e1rios usem o navegador(Chrome, Firefox, Edge….) ao inv\u00e9s da vers\u00e3o desktop do Microsoft Teams. Ao usar o Microsoft Edge para carregar o aplicativo, os usu\u00e1rios se beneficiam de prote\u00e7\u00f5es adicionais contra vazamentos de token.<\/p>\n\n\n\n

Os pesquisadores aconselham os usu\u00e1rios do Linux a mudar para um conjunto de colabora\u00e7\u00e3o diferente, especialmente desde que a Microsoft anunciou planos de parar de oferecer suporte ao aplicativo para a plataforma at\u00e9 dezembro.<\/p>\n\n\n\n

For those that can’t move to a different solution immediately, they can create a monitoring rule to discover processes accessing the following directories:<\/p>\n\n\n\n