ผู้เชี่ยวชาญด้านความปลอดภัยจาก Vectra AI พบ Microsoft Teams เก็บ Authentication Token แบบ Cleartext ไม่มีการเข้ารหัส
ผู้เชี่ยวชาญจาก Vectra AI ได้ค้นพบจุดอ่อนนี้โดยบังเอิญในระหว่างการหาวิธีลบ Disable Account ออกจาก Client App โดยพบว่า ในไฟล์ ldb มีการเก็บ Access Token เป็นแบบ Cleartext และไม่มีการเข้ารหัสใด ๆ โดย Access Token นี้สามารถนำไปใช้ในการเข้าถึง Outlook และ Skype API ได้ นอกจากนี้ยังพบว่า มีการเก็บฐานข้อมูล Cookies ที่มีข้อมูล Access Token เอาไว้เช่นเดียวกัน ซึ่งสามารถใช้ Sqlite 3 database client เปิดอ่านได้อย่างง่ายดาย โดยมีการทดลองนำ Access Token ที่ได้มา ใช้ส่งข้อความหาตัวเองผ่านทาง Skype API ก็สามารถส่งข้อความได้สำเร็จ ช่องโหว่นี้พบใน Microsoft Teams Client เวอร์ชัน Desktop บน Windows , Linux และ Mac ที่ถูกพัฒนาด้วย Electron app
Vectra ได้รายงานไปยัง Microsoft ตั้งแต่เดือนสิงหาคมที่ผ่านมา แต่ปัจจุบัน Microsoft ยังไม่ได้ออกแพตช์เพื่ออุดจุดอ่อนดังกล่าวแต่อย่างใด ซึ่งสร้างความกังวลว่าอาจเป็นช่องทางให้ผู้ไม่หวังดีใช้วิธีการสร้าง Phishing Campaign หรือมัลแวร์ขึ้นมาเพื่อขโมย Access Token นี้ เพื่อนำไปสร้างความเสียหายอื่น ๆ ได้
Vectra ได้แนะนำให้หันไปใช้งาน Microsoft Teams เวอร์ชันเว็บเป็นการชั่วคราวในระหว่างที่รอการแก้ไขจาก Microsoft ส่วนผู้ดูแลระบบควรเพิ่มการตรวจสอบการเข้าถึงรายการไฟล์ตามด้านล่างนี้ในเครื่องผู้ใช้งาน ว่ามีการเข้าถึงจากแอพพลิเคชันอื่นที่ไม่ใช่ Microsoft Teams Client หรือไม่
– [Windows] %AppData%\Microsoft\Teams\Cookies
– [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
– [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
– [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
– [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
– [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb
ที่มา : techtalkthai / วันที่เผยแพร่ 15 ก.ย.65
Link : https://www.techtalkthai.com/researcher-found-microsoft-teams-keeps-authentication-token-as-cleartext/
