Microsoft Teams memorizza in chiaro i dati di autenticazione: sappiatelo

• Microsoft
• Microsoft Teams

La famosa e apprezzata piattaforma di comunicazione e collaborazione unificata che unisce chat di lavoro, videoconferenze, condivisione di contenuti e integrazione delle app soffre di un problema di sicurezza non da poco. Che peraltro non è stato valutato come tale da parte di Microsoft.

Microsoft Teams è utilizzata oggi da 270 milioni di persone in tutto il mondo soprattutto per finalità lavorative. I ricercatori di Vectra Protect hanno tuttavia scoperto che Teams memorizza in chiaro i token di autenticazione degli utenti sul sistema locale, compresi quelli relativi agli account protetti con l’autenticazione a due fattori (2FA) o con meccanismi Multi Factor Authentication (MFA).

Come abbiamo ricordato in altre occasioni, se un aggressore riesce a recuperare i token di autenticazione altrui può accedere alla piattaforma sottraendo l’identità di un altro utente. L’abbiamo visto quando abbiamo spiegato perché i reverse proxy sono diventati così “gettonati” dai criminali informatici che pongono in essere attacchi phishing.

Gli esperti di Vectra spiegano che i token di Teams vengono salvati in chiaro sui sistemi Windows, macOS e Linux senza alcuna misura di protezione aggiuntiva.
Un utente malintenzionato in grado di accedere al sistema sul quale è installato Teams potrebbe quindi rubare i token altrui e utilizzarli per accedere all’account della vittima. È ovvio che combinando la scoperta con l’utilizzo di qualche falla sfruttabile da remoto (magari non corretta dal singolo utente mediante l’applicazione delle patch mensili di Microsoft), un criminale informatico potrebbe avere gioco facile sugli account utente di altri soggetti.

Vectra aggiunge che Microsoft è a conoscenza del problema ma ha chiuso la segnalazione affermando che non soddisfa i requisiti minimi per procedere con un intervento immediato. “In attesa che Microsoft aggiorni l’applicazione desktop di Teams, riteniamo che gli utenti debbano valutare di utilizzare esclusivamente l’applicazione Teams basata sul Web. Per i clienti che devono utilizzare l’applicazione desktop, è fondamentale controllare che i file chiave dell’applicazione non siano accessibili da processi diversi dall’applicazione Teams ufficiale“, si osserva dal team di Vectra.
Le locazioni di memoria da tenere d’occhio in quanto contengono i dati di autenticazione sono le seguenti (variano ovviamente a sistema operativo a sistema operativo).

Windows:

%appdata%\Microsoft\Teams\Cookies

%appdata%\Microsoft\Teams\Local Storage\leveldb

macOS:

~/Library/Application Support/Microsoft/Teams/Cookies

~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb

Linux:

~/.config/Microsoft/Microsoft Teams/Cookies

~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

Teams è un’applicazione Electron: essa può utilizzare tutti gli elementi che vengono normalmente gestiti da un browser Web. Electron non supporta la crittografia o l’utilizzo di locazioni di memoria protette: sebbene il framework sia versatile e facile da usare, non è considerato sufficientemente sicuro per lo sviluppo di prodotti mission-critical a meno che non venga prevista un’estesa personalizzazione a fronte di un bel po’ di lavoro addizionale.

Come indicato in precedenza, Vectra ha accertato l’esistenza di un file ldb usato da Teams che contiene token di accesso in chiaro. Tali dati sono serviti per accedere con successo anche alle API di Outlook e Skype. Inoltre, una cartella Cookies anch’essa utilizzata da Teams ospita token di autenticazione validi, informazioni sull’account, dati di sessione e tag di marketing.