Pazar, Şubat 16, 2025
Ana SayfaTeknoloji HaberleriMicrosoft Teams, açık metin kimlik doğrulama belirteçlerini saklar, hızlı bir şekilde yamalanmayacaktır

Microsoft Teams, açık metin kimlik doğrulama belirteçlerini saklar, hızlı bir şekilde yamalanmayacaktır

Teams'i bir tarayıcıda kullanmak, aslında Microsoft'un bir tarayıcının etrafına sarılmış masaüstü uygulamalarını kullanmaktan daha güvenlidir.  Üzerinde çalışılacak çok şey var.
büyüt / Teams’i bir tarayıcıda kullanmak, aslında Microsoft’un bir tarayıcının etrafına sarılmış masaüstü uygulamalarını kullanmaktan daha güvenlidir. Üzerinde çalışılacak çok şey var.

Bir siber güvenlik şirketine göre, Microsoft’un Teams istemcisi, kullanıcıların kimlik doğrulama belirteçlerini korumasız bir metin biçiminde depolar ve potansiyel olarak yerel erişime sahip saldırganların ileti göndermesine ve iki faktörlü kimlik doğrulama etkinleştirilmiş olsa bile bir kuruluşta yanlamasına hareket etmesine olanak tanır.

Vectra, Microsoft kusuru düzeltene kadar tarayıcı teknolojilerinden uygulamalar oluşturmak için Electron çerçevesiyle oluşturulmuş Microsoft masaüstü istemcisinden kaçınmanızı önerir. Vectra, web tabanlı Teams istemcisini Microsoft Edge gibi bir tarayıcıda kullanmanın biraz paradoksal olarak daha güvenli olduğunu iddia ediyor. Bildirilen sorun Windows, Mac ve Linux kullanıcılarını etkiliyor.

Microsoft, kendi adına, Vectra’nın istismarının “anında hizmet için barımızı karşılamadığına” inanıyor, çünkü ilk etapta ağın içine girmek için başka güvenlik açıkları gerektirecek. Bir sözcü, Dark Reading’e şirketin “gelecekteki bir ürün sürümünde (sorunu) ele almayı düşüneceğini” söyledi.

Vectra’daki araştırmacılar, devre dışı bırakılmış bir hesabı Teams kurulumundan kaldırmaya çalışan bir müşteriye yardımcı olurken bu güvenlik açığını keşfetti. Microsoft, kaldırılmak için kullanıcıların oturum açmasını gerektirir, bu nedenle Vectra yerel hesap yapılandırma verilerine baktı. Oturum açmış hesaba yapılan referansları kaldırmak için yola çıktılar. Bunun yerine, uygulamanın dosyalarında kullanıcının adını arayarak buldukları şey, açık bir şekilde, Skype ve Outlook erişimi sağlayan belirteçlerdi. Buldukları her simge etkindi ve iki faktörlü bir mücadeleyi tetiklemeden erişim izni verebilirdi.

Daha da ileri giderek, bir kavram kanıtı istismarı hazırladılar. Sürümleri bir SQLite motorunu yerel bir klasöre indirir, bir Teams uygulamasının yerel deposunu bir kimlik doğrulama belirteci için taramak için kullanır, ardından kullanıcıya kendi belirteç metniyle yüksek öncelikli bir mesaj gönderir. Bu açıktan yararlanmanın olası sonuçları, elbette, bazı kullanıcıları kendi jetonlarıyla kimlik avından daha büyüktür:

Bu durumda Microsoft Teams istemcisini yükleyen ve kullanan herkes, Teams kapatıldığında bile Teams kullanıcı arabirimi aracılığıyla olası herhangi bir eylemi gerçekleştirmek için gereken kimlik bilgilerini depolar. Bu, saldırganların SharePoint dosyalarını, Outlook posta ve takvimlerini ve Teams sohbet dosyalarını değiştirmesine olanak tanır. Daha da zarar verici olan saldırganlar, bir kuruluş içindeki meşru iletişimleri seçici olarak yok ederek, sızdırarak veya hedefli kimlik avı saldırılarına girişerek kurcalayabilirler. Bu noktada bir saldırganın şirketinizin ortamında hareket etme yeteneğinin bir sınırı yoktur.

Vectra, kötü niyetli aktörler CEO’lar veya diğer yöneticiler gibi davranıp alt düzey çalışanlardan eylemler ve tıklamalar arayabileceğinden, bir kullanıcının Teams erişiminde gezinmenin kimlik avı saldırıları için özellikle zengin bir kaynak sunduğunu belirtiyor. Bu, İş E-posta Uzlaşması (BEC) olarak bilinen bir stratejidir; bununla ilgili olarak Microsoft’un Sorunlar Üzerine blogunda okuyabilirsiniz.

Elektron uygulamalarının daha önce derin güvenlik sorunları barındırdığı tespit edildi. 2019 sunumu, tarayıcı güvenlik açıklarının Skype, Slack, WhatsApp ve diğer Electron uygulamalarına kod eklemek için nasıl kullanılabileceğini gösterdi. WhatsApp’ın masaüstü Electron uygulamasının, 2020’de mesajlara gömülü JavaScript aracılığıyla yerel dosya erişimi sağlayan başka bir güvenlik açığı olduğu bulundu.

Yorum için Microsoft’a ulaştık ve bir yanıt alırsak bu gönderiyi güncelleyeceğiz.

Vectra, geliştiricilerin “uygulamanız için Electron kullanmaları gerekiyorsa”, KeyTar gibi araçları kullanarak OAuth belirteçlerini güvenli bir şekilde saklamalarını önerir. Vectra’da güvenlik mimarı olan Connor Peoples, Dark Reading’e Microsoft’un Electron’dan uzaklaşıp, çerezler ve depolama konusunda daha iyi işletim sistemi düzeyinde güvenlik sağlayacak olan Aşamalı Web Uygulamalarına geçtiğine inandığını söyledi.

RELATED ARTICLES

Popüler Konular