Sicherheitslücke Microsoft Teams
Wie Sicherheitsexperten der Firma Vectra herausgefunden haben, besteht eine gravierende Sicherheitslücke in Microsoft Teams. Sie entdeckten, dass die Zugriffstokens im Klartext gespeichert werden.
Diese Tokens werden benötigt, um die Anmeldung in Microsoft-Diensten durchzuführen. Da sie im Klartext gespeichert werden, können Angreifer diese Tokens stehlen und benutzen, um sich in den Microsoft-Diensten des Nutzers anzumelden. Durch die Anmeldung über die Zugriffstokens können weitere Sicherheitsmaßnahmen wie Passwörter oder Zweifaktor-Authentifizierungen umgangen werden.
Der einzige Lichtblick ist, dass das Gerät des Nutzers bereits kompromittiert sein muss, damit sich Angreifer Zugang zu den Tokens verschaffen können.
Es wird berichtet, dass die Versionen für Windows, Linux und Mac von dieser Sicherheitslücke betroffen sind.
Microsoft ist diese Sicherheitslücke Berichten zufolge bekannt, vertritt aber die Meinung, dass hier kein sofortiger Handlungsbedarf ihrerseits besteht, da Angreifer erst Zugriff auf das Zielnetzwerk benötigen, um die Sicherheitslücke auszunutzen. Das Problem soll in einem späteren Patch behoben werden.
Die Sicherheitsexperten raten auf die Browserversion von Microsoft Teams in Microsoft Edge umzusteigen, da hier mehrere Kontrollmechanismen auf Betriebssystemebene vorhanden sind, um Token-Leaks zu verhindern. Für Linux-Nutzer wird generell geraten auf die Web-Version umzusteigen.
Admins können zusätzlich eine Regel zur Systemüberwachung erstellen, um den Zugriff auf Dateien und Ordner zu überwachen. Vectra empfiehlt folgende Datei/Ordner zu überwachen:
- [Windows] %AppData%\Microsoft\Teams\Cookies
- [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
- [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
- [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
- [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
- [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb
Falls ein anderer Prozess als Teams.exe auf diese Dateien zugreift, ist das ein Indiz für einen Zugriff auf die gespeicherten Daten außerhalb des Rahmens der Microsoft Teams Anwendung.