Untergraben der Sicherheit von Microsoft Teams durch verminte Tokens

  • Aktualisiert vor2 Monaten 
  • 6Minuten Lesezeit
  • 1268Wörter
  • 46Leser

Vectra liefert weitere Details zur schweren Sicherheitslücke

München/Zürich, den 19.09.2022 – Im August 2022 identifizierte das Protect Team von Vectra einen Angriffspfad, der es Kriminellen mit Zugriff auf das Dateisystem ermöglicht, Berechtigungsnachweise für jeden angemeldeten Benutzer von Microsoft Teams zu stehlen. Angreifer benötigen keine besonderen Genehmigungen, um diese Dateien zu lesen, was diese Schwachstelle für jeden Angriff anfällig macht, der Angreifern lokalen oder entfernten Zugriff auf das System erlaubt. Außerdem wurde festgestellt, dass diese Verletzbarkeit alle kommerziellen Clients und solche von GCC Desktop Teams (Government Community Cloud) für Windows-, Mac- und Linux-Umgebungen betrifft.

Connor Peoples, SSPM Architect bei Vectra AI, erläutert weitere Details der Schwachstelle, die in den vergangenen Tagen für viel Aufsehen gesorgt hat:

Unsere Untersuchung ergab, dass die Teams App von Microsoft die Authentifizierungs-Token im Klartext speichert. Mit diesen Token können Angreifer die Identität des Token-Inhabers für alle Aktionen annehmen, die über den Client von Microsoft Teams möglich sind, einschließlich der Verwendung dieses Tokens für den Zugriff auf API-Funktionen von Microsoft Graph – und zwar vom System eines Angreifers aus. Noch schlimmer ist, dass diese gestohlenen Token es Angreifern erlauben, Aktionen gegen Accounts mit Multi-Factor Authentication (MFA) durchzuführen, indem eine MFA-Umleitung erzeugt wird.

Microsoft ist sich dieses Problems bewusst und hat den Fall mit der Begründung geschlossen, dass er nicht die Anforderungen für eine sofortige Bearbeitung erfüllen würde. Bis sich Microsoft bewegt und die entsprechendeTeams Desktop Application aktualisiert, sollten Kunden unserer Meinung nach ausschließlich die webbasierte Teams-Anwendung verwenden. Für Kunden, die die installierte Desktop-Anwendung verwenden müssen, ist es wichtig, auf besondere Anwendungsdateien für den Zugriff durch andere Prozesse als die offizielle Teams-Anwendung zu achten.

Die Entstehung der Jagd

 

Die Untersuchung begann, als sich ein Kunde von Vectra Protect darüber beschwerte, wie Microsoft Teams deaktivierte Identitäten verwaltet. Endbenutzer können deaktivierte Konten nicht über die Benutzeroberfläche entfernen, da die Teams-Anwendung voraussetzt, dass der Zugang angemeldet ist, um sie aus dem Client zu entfernen. Natürlich können Benutzer dies nicht tun, wenn ihr Benutzerkonto deaktiviert ist. Um bei der Lösung dieses Problem zu helfen, haben wir begonnen, uns die lokalen Konfigurationsdaten innerhalb des Teams-Clients anzusehen und so herausgefunden, wie sie funktionieren.

Electron – ein Sicherheitsmanko

Microsoft Teams ist eine Electron-basierte Anwendung. Electron funktioniert durch die Erstellung einer Web-Anwendung, die über einen angepassten Browser ausgeführt wird. Dies ist sehr praktisch und macht die Entwicklung schnell und einfach. Die Ausführung eines Web-Browsers im Kontext einer Anwendung erfordert jedoch herkömmliche Browser-Daten wie zum Beispiel Cookies, Ablaufdaten von Sitzungen und Protokolle. Genau hier liegen die Probleme bei dieser Schwachstelle.

Eintauchen in die Struktur

Zunächst untersuchten wir Methoden, um alle Verweise auf die eingeloggten Konten zu entfernen.  Unser Ziel war es, die alten Konten zu entfernen und Teams dazu zu bringen, so zu arbeiten, als ob sie nicht mehr vorhanden wären. Mehrere Versuche, die Konfigurationsdatei und die erstmaligen Ausführungsdateien zu ändern, blieben erfolglos. Als einen Hinweis im Unbekannten suchten wir nach dem bekannten, hauptsächlichen Benutzernamen und erhielten zwei wichtige Dateien zurück.

Die Auswirkungen von ungesicherten Anmeldeinformationen

Microsoft speichert diese Anmeldeinformationen, um eine nahtlose Single-Sign-On-Erfahrung innerhalb der Desktop-Anwendung zu schaffen. Die Implementierung von Sicherheitskontrollen ermöglicht Angreifern jedoch den Zugriff auf Token. Die Desktop-Anwendung bietet Angreifern die Möglichkeit, Anmeldeinformationen außerhalb des vorgesehenen Kontexts zu verwenden, da im Gegensatz zu modernen Browsern keine zusätzlichen Sicherheitskontrollen zum Schutz von Cookie-Daten vorhanden sind.

Jeder, der den Teams-Client von Microsoft in diesem Zustand installiert und verwendet, speichert die Anmeldeinformationen, die für die Durchführung aller über die Teams-Benutzeroberfläche möglichen Aktionen erforderlich sind, selbst wenn Teams heruntergefahren ist. Auf diese Weise können Angreifer SharePoint-Dateien, Outlook-Mails und -Kalender sowie Chat-Dateien von Teams ändern. Noch schädlicher ist es, dass Angreifer legitime Kommunikation innerhalb eines Unternehmens verfälschen können, indem sie selektiv zerstören, exfiltrieren oder gezielte Phishing-Angriffe durchführen. Den Möglichkeiten eines Angreifers, sich in der Umgebung Ihres Unternehmens zu bewegen, sind an dieser Stelle keine Grenzen gesetzt.

Der große Schrecken – die ultimative Phishing-Attacke

Hier nun der Punkt, der uns an einem solchen Angriff wirklich erschreckt. Für diesen Angriff sind keine besonderen Berechtigungen oder fortgeschrittene Malware erforderlich, um großen internen Schaden anzurichten. Mit einer ausreichenden Anzahl kompromittierter Computer können Angreifer die Kommunikation innerhalb eines Unternehmens bestimmen. Indem sie die volle Kontrolle über kritische Stellen übernehmen, wie zum Beispiel bei der Arbeit des Head of Engineering, des CEO oder des CFO eines Unternehmens, können Angreifer letztlich Benutzer davon überzeugen, Aufgaben auszuführen, die dem Unternehmen schaden. Wie will man solchen Angriffen mit kleineren Phishing-Tests ernsthaft begegnen?

Empfehlungen von Vectra AI

 

  • Für Administratoren

Migrieren Sie auf die Web-App

 

Wir raten davon ab, den vollständigen Teams-Client von Microsoft zu verwenden, solange Microsoft dieses Problem nicht wirksam behoben hat. Verwenden Sie den web-basierten Teams-Client in Microsoft Edge, der über mehrere Steuerelemente auf Betriebssystemebene verfügt, um undichte Stellen bei Tokens auszuschließen. Zum Glück ist die Web-Anwendung von Teams robust und unterstützt die meisten Funktionen, die über den Desktop-Client aktiviert sind, wodurch die Auswirkungen auf die Produktivität des Unternehmens auf ein Minimum beschränkt werden.

Sobald Microsoft die elektronischen Teams-Anwendungen aktualisiert hat, ist es immer noch wichtig, zu einem Modell mit hohen Restriktionen überzugehen, um die Installation von nicht autorisierten Teams-Apps, Bots, Konnektoren usw. zu verhindern.

Für Linux-Benutzer ist dies der empfohlene Weg eines Full Stop, da Microsoft das Ende der Lebensdauer von Teams für Linux für Dezember 2022 angekündigt hat.

Den Dateizugriff verfolgen

Erstellen Sie eine Regel zur Systemüberwachung, um jene Prozesse zu identifizieren, die auf diese sensiblen Dateien zugreifen.

Wenn ein anderer Prozess als Teams.exe auf diese Dateien zugreift, bedeutet dies, dass auf die gespeicherten Daten außerhalb des Kontexts der Teams-Anwendung zugegriffen wird.

  • Für Entwickler

Wenn Sie Electron für Ihre Anwendung verwenden müssen, sorgen Sie dafūr, dass Sie OAuth-Tokens sicher speichern. Eine solche Methode zur Speicherung von Geheimnissen ist die Verwendung des Pakets KeyTar, das die lokalen Sicherheitsmechanismen des Betriebssystems für die Verwaltung von Geheimnissen nutzt.

  • Für Microsoft

Wenn Sie die Token speichern müssen, tun Sie dies in einer verschlüsselten Form. Dies erhöht erheblich den erforderlichen Aufwand, um die Token zu beschädigen, da ein Angreifer gezwungen ist, den Speicherstapel ins Visier zu nehmen, auf dem der Prozess von Teams läuft. Idealerweise würden Sie ähnliche Schutzmechanismen nutzen, wie sie von modernen Desktop-Browsern angeboten werden, die Cookie-Inhalte mit Betriebssystem-Tools verschlüsseln.

Und nicht zuletzt sorgen Sie bitte dafür, dass deaktivierte Zugänge aus der oder den Teams-Anwendung(en) entfernt werden, ohne dass man eine vollständige De-Installation oder Re-Installation durchführen muss.

# # # ENDE # # #

Über Vectra AI

Vectra ist ein führender Anbieter von Bedrohungserkennung und -abwehr für Hybrid- und Multi-Cloud-Unternehmen. Die Vectra-Plattform nutzt KI zur schnellen Erkennung von Bedrohungen in der Public Cloud, bei Identitäts- und SaaS-Anwendungen sowie in Rechenzentren. Nur Vectra optimiert die KI, um Angreifermethoden – die TTPs (Taktiken, Techniken und Prozesse), die allen Angriffen zugrunde liegen – zu erkennen, anstatt einfach nur bei „anders“ zu alarmieren. Das daraus resultierende realitätsnahe Bedrohungssignal und der klare Kontext ermöglichen es Sicherheitsteams, schneller auf Bedrohungen zu reagieren und laufende Angriffe zu stoppen. Unternehmen auf der ganzen Welt verlassen sich auf Vectra, wenn es darum geht, gefährliche Cyberbedrohungen abzuwehren und zu verhindern, dass Ransomware, Supply-Chain-Kompromittierung, Identitätsübernahmen und andere Cyberangriffe ihr Unternehmen beeinträchtigen.

tech2com UG

Philipp Haberland

Festnetz: 07162/601400-1

Mobil: 0163/2722363

Mail: p.haberland@tech2com.de