Bug του Microsoft Teams επιτρέπει στους hackers να κλέβουν λογαριασμούς
Ένα σημαντικό πρόβλημα ασφαλείας στο Microsoft Teams επιτρέπει σε κακόβουλους χρήστες να συνδεθούν σε λογαριασμούς άλλων ατόμων, ακόμη και αν οι λογαριασμοί αυτοί προστατεύονται με έλεγχο ταυτότητας πολλαπλών παραγόντων (2FA), σύμφωνα με ερευνητές.
Οι αναλυτές κυβερνοασφάλειας της Vectra αναφέρουν ότι η desktop εφαρμογή του Teams για Windows, Linux και Mac,
«Η επίθεση αυτή δεν απαιτεί ειδικά δικαιώματα ή προηγμένο κακόβουλο λογισμικό για να προκαλέσει μεγάλες ζημιές σε μια εταιρεία", δήλωσε ο Connor Peoples της Vectra - η Microsoft, από την άλλη πλευρά, δηλώνει ότι η όλη υπόθεση είναι υπερβολική και ότι δεν προτίθεται να αντιμετωπίσει το θέμα προς το παρόν.
Το πρόβλημα έγκειται στο γεγονός ότι το Microsoft Teams είναι μια εφαρμογή Electron, η οποία εκτελείται σε παράθυρο browser. Καθώς το Electron δεν διαθέτει υποστήριξη για κρυπτογράφηση ή προστατευμένες τοποθεσίες αρχείων από προεπιλογή, είναι σίγουρα πιο εύκολο στη χρήση αλλά και επικίνδυνο σε ότι αφορά την προστασία δεδομένων. Η έρευνα αποκάλυψε επίσης αποκάλυψε ότι τα tokens δεν είχαν αποθηκευτεί κατά λάθος ή ως μέρος ενός προηγούμενου data bump.
«Κατά την επανεξέταση, διαπιστώθηκε ότι access tokens ήταν ενεργά και δεν αποτελούσαν τυχαία απόρριψη ενός προηγούμενου σφάλματος. Αυτά τα tokens μας έδωσαν πρόσβαση στα API του Outlook και του Skype", εξήγησε η Vectra. Επιπλέον, ο φάκελος "cookies" περιείχε tokens, πληροφορίες λογαριασμού, δεδομένα από sessions και άλλες πολύτιμες πληροφορίες.
Όπως αναφέραμε, η Microsoft υποβαθμίζει το όλο θέμα, αναφέροντας ότι δεν είναι τόσο σοβαρό και ότι δεν πληροί τα κριτήρια για επιδιόρθωση. Σε μια δήλωση που στάλθηκε στο BleepingComputer, η Microsoft αναφέρει ότι «η τεχνική που περιγράφεται δεν πληροί τα κριτήριά μας για άμεση επιδιόρθωση, καθώς απαιτεί από έναν εισβολέα να αποκτήσει πρώτα πρόσβαση σε ένα δίκτυο-στόχο. Εκτιμούμε τη συνεργασία της Vectra Protect για τον εντοπισμό και την υπεύθυνη αποκάλυψη αυτού του ζητήματος και θα εξετάσουμε το ενδεχόμενο αντιμετώπισης σε μελλοντική έκδοση της εφαρμογής».
Η Vectra, από την άλλη πλευρά, διαφωνεί και για να στηρίξει την άποψή της, ανέπτυξε ένα exploit που κάνει κατάχρηση μιας κλήσης API, επιτρέποντας σε έναν χρήστη να στέλνει μηνύματα στον εαυτό του. Διαβάζοντας τη βάση δεδομένων των cookies μέσω της μηχανής SQLite, το exploit ήταν σε θέση να λάβει τα tokens ελέγχου ταυτότητας σε ένα απλό μήνυμα.
Η Vectra προτείνει στις επιχειρήσεις να επιλέγουν τη χρήση του Teams μέσω browser ενώ οι χρήστες Linux θα πρέπει να επιλέξουν μια διαφορετική πλατφόρμα συνεργασίας.
Διαβάστε ολόκληρο το άρθρο
- Δημοφιλέστερες Ειδήσεις Κατηγορίας Τεχνολογία
- Διαθέσιμο για PS5 και Xbox Series το demo του Wo Long: Fallen Dynasty (trailer)
- Απαντήσεις από τον Phil Spencer την ώρα που φουντώνει η κόντρα με τη Sony για το Call of Duty
- Bug του Microsoft Teams επιτρέπει στους hackers να κλέβουν λογαριασμούς
- Suikoden 1/2 HD Remaster: RPG περιπέτειες από τα παλιά
- Google Chrome: Έρχονται νέα Memory Saver και Battery Saver modes
- Pacific Drive: Το πρωτοποριακό παιχνίδι επιβίωσης έρχεται το 2023 σε PC και PS5
- Η εφαρμογή καταγραφής περιόδου Flo προσθέτει "Ανώνυμη λειτουργία" μετά την ανατροπή του Roe v. Wade
- To Fun Mode της σειράς Samsung Galaxy A σημειώνει ρεκόρ 2,5 δισεκατομμυρίων χρήσεων
- Δημοφιλέστερες Ειδήσεις Insomnia
- Τελευταία Νέα Insomnia
- Bug του Microsoft Teams επιτρέπει στους hackers να κλέβουν λογαριασμούς
- Οι πωλήσεις του iPhone 14 Plus είναι χαμηλότερες του αναμενομένου
- Οι διαφημίσεις στο YouTube φαίνεται να αυξάνονται, με έως και 10 διαφημίσεις σε διάλειμμα χωρίς δυνατότητα skip
- Μήνυση κατά της Tesla για "εξαπάτηση" των καταναλωτών σχετικά με τις υποσχέσεις του FSD
- Τεράστια εξαγορά στο χώρο του design, με την Adobe να κάνει δική της τη Figma με 20 δις. δολάρια
- Τεράστια εξαγορά στο χώρο του design, με την Adobe να εξαγοράζει τη Figma με 20 δις. δολάρια
- Με τιμές έκπληξη τα νέα FTTH πακέτα της Cosmote με ταχύτητες έως 1 Gbps
- Επίσημες οι GoPro Hero 11 και GoPro Hero 11 mini
- Ολοκληρώθηκε η μετάβαση του Ethereum στο μηχανισμό proof-of-stake
- Keysfan Autumn Sale: Εκπτώσεις έως και 90%, με Microsoft Office 2021 (lifetime) από €13.73 και Windows από €6.15
- Τελευταία Νέα Κατηγορίας Τεχνολογία
- Απαντήσεις από τον Phil Spencer την ώρα που φουντώνει η κόντρα με τη Sony για το Call of Duty
- To Fun Mode της σειράς Samsung Galaxy A σημειώνει ρεκόρ 2,5 δισεκατομμυρίων χρήσεων
- Suikoden 1/2 HD Remaster: RPG περιπέτειες από τα παλιά
- To Fun Mode της σειράς Samsung Galaxy A σημειώνει ρεκόρ 2,5 δισ. χρήσεων
- Pacific Drive: Το πρωτοποριακό παιχνίδι επιβίωσης έρχεται το 2023 σε PC και PS5
- Η εφαρμογή καταγραφής περιόδου Flo προσθέτει "Ανώνυμη λειτουργία" μετά την ανατροπή του Roe v. Wade
- Google Chrome: Έρχονται νέα Memory Saver και Battery Saver modes
- Διαθέσιμο για PS5 και Xbox Series το demo του Wo Long: Fallen Dynasty (trailer)
- Συνεργασία της United Group με τα EMMY Awards
- Μήνυση κατά της Tesla για ψευδείς ισχυρισμούς για τις δυνατότητες του Autopilot