يقوم عميل Teams من Microsoft بتخزين رموز مصادقة المستخدم بتنسيق نصي غير محمي ، مما يسمح للمهاجمين الذين لديهم وصول محلي لنشر الرسائل والتحرك بشكل جانبي عبر المؤسسة ، حتى مع تمكين عوامل المصادقة ثنائية الاتجاه ، وفقًا لشركة الأمن السيبراني.
توصي Vectra بتجنب عميل سطح المكتب من Microsoft ، الذي تم إنشاؤه باستخدام إطار عمل Electron لإنشاء تطبيقات من تقنيات المستعرض ، حتى تقوم Microsoft بإصلاح الخلل. يعتبر استخدام عميل Teams المستند إلى الويب في مستعرض مثل Microsoft Edge ، ومن المفارقات إلى حد ما ، أكثر أمانًا ، كما تدعي Vectra. تؤثر المشكلة المبلغ عنها على مستخدمي Windows و Mac و Linux.
من جانبها ، تعتقد Microsoft أن استغلال Vectra “لا يصل إلى مستوى الخدمة الفورية لدينا” لأنه سيتطلب ثغرات أمنية أخرى للدخول إلى الشبكة في المقام الأول. قال متحدث باسم Dark Reading أن الشركة “ستنظر في حل (المشكلة) في إصدار مستقبلي من المنتج”.
الباحثون في فيكترا اكتشف الثغرة الأمنية أثناء مساعدة عميل يحاول إزالة حساب معطل من تكوين Teams الخاص بهم. تطلب Microsoft من المستخدمين تسجيل الدخول ليتم حذفهم ، لذلك قام Vectra بمراجعة بيانات تكوين الحساب المحلي. تعهدوا بإزالة الإشارات إلى الحساب المتصل. ما وجدوه بدلاً من ذلك ، من خلال البحث في ملفات التطبيق عن اسم المستخدم ، كان عبارة عن رموز ، بشكل واضح ، توفر الوصول إلى Skype و Outlook. كان كل رمز تم العثور عليه نشطًا ويمكن أن يمنح حق الوصول دون إثارة تحدي عاملين.
للمضي قدمًا ، قاموا بتصميم استغلال لإثبات صحة المفهوم. يقوم الإصدار الخاص بهم بتنزيل محرك SQLite إلى مجلد محلي ، ويستخدمه لفحص التخزين المحلي لتطبيق Teams بحثًا عن رمز مصادقة مميز ، ثم يرسل للمستخدم رسالة أولوية مع نص الرمز الخاص به. العواقب المحتملة لهذا الاستغلال أكبر من التصيد الاحتيالي لبعض المستخدمين برموزهم الخاصة ، بالطبع:
يقوم أي شخص يقوم بتثبيت عميل Microsoft Teams واستخدامه في هذه الحالة بتخزين بيانات الاعتماد اللازمة لتنفيذ أي إجراء محتمل من خلال واجهة مستخدم Teams ، حتى عند إيقاف Teams. يسمح هذا للمهاجمين بتعديل ملفات SharePoint والبريد الإلكتروني والتقويمات في Outlook وملفات دردشة Teams. والأكثر ضررًا هو أن المهاجمين يمكنهم تغيير الاتصالات المشروعة داخل المنظمة عن طريق التمزيق الانتقائي لهجمات التصيد أو التسلل أو الانخراط في هجمات التصيد الاحتيالي المستهدفة. لا يوجد حد لقدرة المهاجم على التحرك عبر بيئة عملك في هذه المرحلة.
يلاحظ Vectra أن التنقل عبر وصول المستخدم إلى Teams يمثل فائدة غنية بشكل خاص لهجمات التصيد الاحتيالي ، حيث يمكن للجهات الفاعلة الخبيثة انتحال صفة الرؤساء التنفيذيين أو المديرين التنفيذيين الآخرين والبحث عن الإجراءات والنقرات ، والموظفين ذوي المستوى الأدنى. تُعرف هذه الإستراتيجية باسم تسوية البريد الإلكتروني للأعمال (BEC) ؛ يمكنك أن تقرأ عنها على مدونة Microsoft On the Issues.
تم بالفعل اكتشاف أن تطبيقات الإلكترون تحتوي على مشكلات أمنية عميقة. أظهر العرض التقديمي لعام 2019 كيف يمكن استخدام الثغرات الأمنية في المتصفح حقن الكود في Skype و Slack و WhatsApp وتطبيقات Electron الأخرى. تم اكتشاف أن تطبيق WhatsApp لسطح المكتب Electron لديه نقطة ضعف أخرى في عام 2020توفير الوصول المحلي إلى الملفات عبر JavaScript المضمنة في الرسائل.
لقد اتصلنا بـ Microsoft للتعليق وسنقوم بتحديث هذا المنشور إذا تلقينا ردًا.
توصي Vectra المطورين ، إذا “يجب عليهم استخدام Electron لتطبيقك” ، بتخزين رموز OAuth المميزة بأمان باستخدام أدوات مثل KeyTar. قال كونور بيبولز ، مهندس الأمن في Vectra ، لـ Dark Reading أنه يعتقد أن Microsoft تتحرك بعيدًا عن Electron وتتجه نحو تطبيقات الويب التقدمية ، والتي من شأنها أن توفر أمانًا أفضل على مستوى نظام التشغيل حول ملفات تعريف الارتباط والتخزين.
/cloudfront-us-east-2.images.arcpublishing.com/reuters/J2MIF3SARZN4HBCOTCK7UKBCDM.jpg){kind=small}
