I ricercatori di Vectra hanno scoperto una grave vulnerabilità nella versione desktop di Microsoft Teams che permette di rubare le credenziali dell’account. I cybercriminali potrebbero accedere ai token di autenticazione memorizzati su Windows, macOS e Linux in chiaro, aggirando la protezione MFA. L’azienda di Redmond ha dichiarato che valuterà se rilasciare una patch. Per non correre rischi è consigliata l’installazione di una soluzione di sicurezza che blocca i cosiddetti “info-stealer”.
Furto dell’account tramite token
La versione desktop di Microsoft Teams è basata su Electron, quindi viene eseguita in una finestra del browser con cookie, stringhe di sessione e log. Electron velocizza lo sviluppo delle applicazioni, ma non supporta la crittografia e la protezione dei file per modalità predefinita. Mentre cercavano un modo per rimuovere gli account disattivati, gli esperti di Vectra hanno scoperto che un file ldb
conteneva i token di accesso in chiaro.
I token erano memorizzati anche in un database Cookie insieme alle informazioni della sessione e dell’account. Utilizzando un client SQLite è stato possibile estrarre nome e valore dei token di autenticazione. Un malintenzionato può quindi accedere all’account Teams, anche quando l’ignara vittima ha attivato l’autenticazione multi-fattore.
Microsoft ha dichiarato che il problema non è grave perché è necessario prima accedere al computer. Ma ciò può essere fatto tramite un attacco phishing che distribuisce un malware info-stealer in grado di leggere i token. L’azienda di Redmond potrebbe rilasciare una patch in futuro. Fino ad allora è consigliato l’uso della versione web di Teams (tramite Microsoft Edge).