Kritische Sicherheitslücke in Microsoft Teams
Quelle: ink drop – stock.adobe.com

Kritische Sicherheitslücke in Microsoft Teams

Sicherheistforscher warnen vor Leck in der Desktop-Version von Microsoft Teams: Da die webbasierte Anwendung Authentifizieurungstoken und Kontodaten schutzlos im Klartext speichert, lassen sich diese ohne grosse Bemühungen auslesen.
15. September 2022

     

Sicherheitsforscher entdeckten eine kritische Sicherheitslücke in der Desktop-App von Microsoft Teams, die Angreifern Zugriff auf Authentifizierungstoken und Konten mit aktiviertet Multi-Faktor-Authentifizierung (MFA) ermöglicht. Die Lücke klafft auf sämtlichen Versionen für Windows, Linux und Mac, wie "Bleepingcomputer" berichtet.

Die Sicherheitslücke gründet darin, dass es sich bei der Desktop-Version von Microsoft Teams um eine webbasierte Anwendung handelt, die im Browserfenster ausgeführt wird – mit allen Elementen, die für eine normale Webseite erforderlich sind (Cookies, Protokolle etc.). Dabei werden keine geschützte oder verschlüsselte Dateispeicherorte verwendet, Microsoft Teams speichert Benutzerauthentifizierungstoken schutzlos im Klartext. So entdeckten die Sicherheitsforscher von Vectra beispielsweise gültige Authentifizierungstoken, Kontoinformationen oder Sitzungsdaten im Cookie-Ordner der webbasierten Anwendung. Mithilfe der SQLite-Engine zum Auslesen der Cookies-Datenbank erhielten die Sicherheitsforscher die Daten als Nachricht in ihrem Chat-Fenster, wobei "für diesen Angriff keine besonderen Berechtigungen oder fortgeschrittene Malware erforderlich sind, um einen grossen internen Schaden anzurichten", wie Vectra mitteilt. Allerdings muss bereits ein lokaler Zugriff auf das System, wo die Daten ergattert werden sollen, bestehen.


Sind die Zugangsdaten einmal ergattert, können sich Cyberkriminelle beim Teams-Konto ihres Opfers anmelden. "Dabei können sie auch die Kontrolle über kritische Sitze übernehmen – wie die des CEO, CTO oder CFO eines Unternehmens", so Vectra. Entdeckt wurde die Sicherheitslücke im August 2022 und die Sicherheitsforscher meldeten ihre Sorgen sogleich an Microsoft. Dort stiessen die Bemühungen der Forscher auf wenig Widerhall, die Schwere des Problems wurde nicht erkannt und ein Patch blieb aus. Die Sicherheitsforscher von Vectra empfehlen daher, Microsoft Teams nur über den Browser selbst zu öffnen, da dieser über mehr Sicherheitsvorkehrungen als die Desktop-Version verfügt. (rf)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER