Pesquisadores compartilharam detalhes da descoberta de uma vulnerabilidade no aplicativo de desktop do Microsoft Teams para Windows, Mac e Linux. A falha permite que cibercriminosos com acesso a arquivos de qualquer sistema que use o Microsoft Teams consiga roubar códigos de autenticação de um usuário ou usuária que tenha feito login no aplicativo.
Esta vulnerabilidade está relacionada ao fato de que o aplicativo da Microsoft Teams armazena, sem a devida proteção, códigos de autenticação em texto simples. Um cibercriminoso pode fazer uso destes códigos de autenticação para ter acesso a conta da vítima, mesmo com a autenticação multifator (MFA) ativada. Além disso, como o atacante não precisa de privilégios de permissão elevados para ler esses arquivos, ele pode ser explorado em qualquer ataque nos quais tenham obtido acesso físico ou remoto ao sistema.
A Microsoft Teams é uma poderosa plataforma de comunicação e colaboração usada por empresas, instituições educacionais e usuários que oferece chat, videoconferência e uma ampla gama de aplicativos relacionados à organização de tarefas e projetos e gerenciamento de informações.
A equipe de pesquisa da Vectra descobriu a vulnerabilidade em agosto de 2022 e garantiu ter reportado o caso à Microsoft. Entretanto, o gigante tecnológico disse que a falha reportada não cumpria os requisitos suficientes para o lançamento de um patch de forma imediata. Um porta-voz da Microsoft disse à Bleeping Computer que a técnica descrita pela Vectra não atende a seus requisitos para uma resposta imediata, pois exige que o atacante tenha acesso à rede de uma vítima.
Os pesquisadores publicaram detalhes da descoberta, afirmando que enquanto trabalhavam em uma forma de remover contas antigas do Teams, eles se depararam com um arquivo ldb que continha códigos de acesso em texto simples, o que lhes permitiu acessar as APIs do Outlook e do Skype durante seus testes.
Assim como a equipe de pesquisa explicou, um aspecto chave para explicar essa falha tem a ver com o fato de que a Microsoft Teams é um desenvolvimento baseado no framework do aplicativo Electron, que é usado para criar aplicações desktop capazes de rodar em um navegador. Embora isto facilite o desenvolvimento, o uso de um navegador web no contexto de um aplicativo apresenta certos riscos de segurança. Isto se deve em parte ao fato de que os desenvolvedores de aplicativos não entendem totalmente como Electron funciona, já que, por exemplo, a estrutura não suporta criptografia ou proteção de localização de arquivos por padrão.
Os especialistas estão preocupados com o alcance potencial desta descoberta em um cenário no qual os atacantes conseguem comprometer vários computadores e assumir o controle de contas importantes.
GifShell: uma técnica que utiliza arquivos GIF maliciosos no Microsoft Teams
Além desta vulnerabilidade, há algumas semanas, foram revelados detalhes de uma nova técnica que explora uma série de vulnerabilidades e falhas no Microsoft Teams para utilizar a plataforma para ataques de phishing, enviar arquivos maliciosos, exfiltrar dados ou até mesmo enviar comandos. Tudo através de um arquivo GIF. A técnica, chamada de GIFShell, foi descoberta pelo pesquisador Bobby Raunch.