Güvenlik analistleri, Microsoft Teams için masaüstü uygulamasında, tehdit aktörlerinin kimlik doğrulama token (user authentication tokens) ve çok faktörlü kimlik doğrulamanın (MFA) açık olduğu hesaplara erişmesine izin veren ciddi bir güvenlik açığı buldu.
Microsoft Teams, 365 ürün ailesine dahil olan ve 270 milyondan fazla kişi tarafından kısa mesaj alışverişi, video konferans ve dosya depolama için kullanılan bir iletişim platformudur.
Yeni keşfedilen güvenlik sorunu, uygulamanın Windows, Linux ve Mac sürümlerini etkiliyor ve Microsoft Teams’in kullanıcı kimlik doğrulama belirteçlerini erişimi korumadan açık metin olarak depolamasına atıfta bulunuyor.
Microsoft Teams’in kurulu olduğu bir sistemde yerel erişimi olan bir saldırgan, belirteçleri çalabilir ve bunları kurbanın hesabına giriş yapmak için kullanabilir.
Siber güvenlik şirketi Vectra’dan Connor Peoples bu haftaki bir raporda, “Bu saldırı, büyük dahili hasarlardan kurtulmak için özel izinler veya gelişmiş kötü amaçlı yazılımlar gerektirmiyor” dedi.
Araştırmacı, saldırganların “bir şirketin Mühendislik Başkanı, CEO veya CFO’su gibi kritik koltukların kontrolünü alarak, kullanıcıları kuruluşa zarar veren görevleri gerçekleştirmeye ikna edebileceğini” ekliyor.
Vectra araştırmacıları, sorunu Ağustos 2022’de keşfetti ve Microsoft’a bildirdi. Ancak Microsoft, sorunun ciddiyeti konusunda hemfikir olmadı ve yama kriterlerini karşılamadığını söyledi.
Microsoft Teams bir Electron uygulamasıdır, yani normal bir web sayfasının gerektirdiği tüm öğelerle (çerezler, oturum dizeleri, günlükler vb.) eksiksiz bir tarayıcı penceresinde çalışır.
Electron, varsayılan olarak şifrelemeyi veya korumalı dosya konumlarını desteklemez, bu nedenle yazılım çerçevesi çok yönlü ve kullanımı kolay olsa da, kapsamlı özelleştirme ve ek çalışma uygulanmadıkça, kritik görev ürünleri geliştirmek için yeterince güvenli kabul edilmez.
Vectra, istemci uygulamalarından devre dışı bırakılmış hesapları kaldırmanın bir yolunu bulmaya çalışırken Microsoft Teams’i analiz etti ve açık metin olarak erişim belirteçleri içeren bir ldb dosyası buldu.
“İnceleme sonucunda, bu erişim belirteçlerinin etkin olduğu ve önceki bir hatanın kazara bir dökümü olmadığı belirlendi. Bu erişim belirteçleri bize Outlook ve Skype API’lerine erişim sağladı.” – Vectra
Ayrıca analistler, “Çerezler” klasörünün hesap bilgileri, oturum verileri ve pazarlama etiketleriyle birlikte geçerli kimlik doğrulama belirteçleri içerdiğini keşfetti.
En büyük endişe, bu kusurun, kimlik avı kampanyalarında en yaygın olarak dağıtılan paylodlardan biri haline gelen bilgi çalan kötü amaçlı yazılımlar tarafından kötüye kullanılmasıdır.
Bu tür kötü amaçlı yazılımları kullanan tehdit aktörleri, Microsoft Teams kimlik doğrulama belirteçlerini çalabilecek ve MFA’yı atlayarak ve hesaba tam erişim sağlayarak kullanıcı olarak uzaktan oturum açabilecek.
Bilgi hırsızları bunu Google Chrome, Microsoft Edge, Mozilla Firefox, Discord ve daha pek çok uygulama için zaten yapıyor.
Risk azaltma
Yayımlanması muhtemel olmayan bir yama ile Vectra’nın tavsiyesi, kullanıcıların Microsoft Teams istemcisinin tarayıcı sürümüne geçmeleridir. Uygulamayı yüklemek için Microsoft Edge’i kullanan kullanıcılar, belirteç sızıntılarına karşı ek korumalardan yararlanır.
Araştırmacılar, özellikle Microsoft’un Aralık ayına kadar platform için uygulamayı desteklemeyi bırakma planlarını duyurmasından bu yana, Linux kullanıcılarına farklı bir işbirliği paketine geçmelerini tavsiye ediyor.
Hemen farklı bir çözüme geçemeyenler için, aşağıdaki dizinlere erişen süreçleri keşfetmek için bir izleme kuralı oluşturabilirler:
- [Windows] %AppData%\Microsoft\Teams\Cookies
- [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
- [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
- [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
- [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
- [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb
BleepingComputer, şirketin sorun için bir düzeltme yayınlama planları hakkında Microsoft ile iletişime geçti ve bir yanıt aldığımızda makaleyi güncelleyecektir.
Güncelleme 9/14/22 – Bir Microsoft sözcüsü, Vectra’nın bulgularıyla ilgili olarak bize şu yorumu gönderdi:
Açıklanan teknik, bir saldırganın önce bir hedef ağa erişmesini gerektirdiğinden, anında hizmet verme çıtamızı karşılamıyor.
Vectra Protect’in bu sorunu belirleme ve sorumlu bir şekilde açıklama konusundaki ortaklığını takdir ediyoruz ve gelecekteki bir ürün sürümünde ele almayı düşüneceğiz.
Kaynak: bleepingcomputer.com