Microsoft Teams स्पष्ट टेक्स्ट प्रमाणीकरण कोड संग्रहीत करता है, और वे जल्दी से डिबग नहीं होंगे

ज़ूम / Microsoft के डेस्कटॉप ऐप्स का उपयोग करने की तुलना में ब्राउज़र में टीम का उपयोग करना अधिक सुरक्षित है, जो ब्राउज़र के चारों ओर लिपटे हुए हैं। काम करने के लिए बहुत कुछ है।

साइबर सुरक्षा फर्म के अनुसार, Microsoft की टीम क्लाइंट उपयोगकर्ताओं के प्रमाणीकरण कोड को एक असुरक्षित टेक्स्ट प्रारूप में संग्रहीत करती है, जो हमलावरों को संदेशों को फैलाने और संगठन में क्षैतिज रूप से स्थानांतरित करने की अनुमति दे सकती है, यहां तक ​​​​कि दो-कारक प्रमाणीकरण सक्षम होने पर भी।

वेक्ट्रा Microsoft के डेस्कटॉप क्लाइंट से बचने की अनुशंसा करता है, जो कि ब्राउज़र तकनीकों से एप्लिकेशन बनाने के लिए इलेक्ट्रॉन ढांचे के साथ बनाया गया है, जब तक कि Microsoft बग को ठीक नहीं करता। Microsoft Edge जैसे ब्राउज़र में वेब-आधारित टीम क्लाइंट का उपयोग करना, कुछ हद तक, अधिक सुरक्षित है, वेक्ट्रा का दावा है। रिपोर्ट की गई समस्या विंडोज, मैक और लिनक्स उपयोगकर्ताओं को प्रभावित करती है।

अपने हिस्से के लिए, माइक्रोसॉफ्ट का मानना ​​​​है कि वेक्ट्रा शोषण “ऑनलाइन सेवाओं के लिए हमारे मानदंडों को पूरा नहीं करता है” क्योंकि इसे पहले स्थान पर नेटवर्क के अंदर आने के लिए अन्य कमजोरियों की आवश्यकता होगी। डार्क रीडिंग के प्रवक्ता ने कहा कि कंपनी “भविष्य के उत्पाद रिलीज में (मुद्दे) को संबोधित करने पर विचार करेगी।”

वेक्ट्रा के शोधकर्ता एक अक्षम खाते को अपने टीम सेटअप से निकालने का प्रयास करने वाले ग्राहक की सहायता करते हुए भेद्यता का पता लगाएं। Microsoft को हटाने के लिए उपयोगकर्ताओं को साइन इन करने की आवश्यकता होती है, इसलिए वेक्ट्रा ने स्थानीय खाते के कॉन्फ़िगरेशन डेटा को देखा। वे लॉग-इन खाते के संदर्भ हटाने के लिए आगे बढ़े। इसके बजाय, उन्होंने ऐप की फ़ाइलों में उपयोगकर्ता नाम खोजकर जो पाया, वे आइकन थे, जो स्पष्ट रूप से स्काइप और आउटलुक तक पहुंच प्रदान करते हैं। पाया गया प्रत्येक टोकन सक्रिय था और दो कारकों को चुनौती दिए बिना पहुंच प्रदान कर सकता था।

READ  लगता है कि PS1 की वर्म्स वर्ल्ड पार्टी में PS5 और PS4 पर ऑनलाइन मल्टीप्लेयर है

आगे बढ़ते हुए, उन्होंने एक प्रूफ-ऑफ-कॉन्सेप्ट शोषण तैयार किया। उनका संस्करण SQLite इंजन को एक स्थानीय फ़ोल्डर में डाउनलोड करता है, इसका उपयोग ऑथ टोकन के लिए टीम के स्थानीय भंडारण को स्कैन करने के लिए करता है, और फिर उपयोगकर्ता को उनके टोकन टेक्स्ट के साथ एक उच्च प्राथमिकता वाला संदेश भेजता है। इस शोषण के संभावित परिणाम कुछ उपयोगकर्ताओं को उनके निजी कोड से फ़िशिंग करने से कहीं अधिक हैं, निश्चित रूप से:

कोई भी व्यक्ति जो इस मामले में Microsoft Teams क्लाइंट को स्थापित और उपयोग करता है, Teams के बंद होने पर भी, Teams उपयोगकर्ता इंटरफ़ेस के माध्यम से कोई भी संभव कार्रवाई करने के लिए आवश्यक क्रेडेंशियल संग्रहीत करता है। यह हमलावरों को SharePoint फ़ाइलें, आउटलुक मेल, कैलेंडर और टीम चैट फ़ाइलों को संशोधित करने की अनुमति देता है। इससे भी अधिक हानिकारक, हमलावर किसी संगठन के भीतर वैध संचार के साथ छेड़छाड़ कर सकते हैं, चुनिंदा रूप से नष्ट कर सकते हैं, तस्करी कर सकते हैं या लक्षित फ़िशिंग हमलों में शामिल हो सकते हैं। इस बिंदु पर आपके कॉर्पोरेट वातावरण के माध्यम से नेविगेट करने के लिए एक हमलावर की क्षमता की कोई सीमा नहीं है।

वेक्ट्रा ने नोट किया कि टीम तक उपयोगकर्ता पहुंच के माध्यम से नेविगेट करना फ़िशिंग हमलों के लिए विशेष रूप से समृद्ध लाभ है, जहां दुर्भावनापूर्ण अभिनेता सीईओ या अन्य सीईओ के रूप में पोज दे सकते हैं और निचले स्तर के कर्मचारियों से कार्रवाई और क्लिक मांग सकते हैं। यह एक रणनीति है जिसे बिजनेस ईमेल समझौता (बीईसी) के रूप में जाना जाता है; आप इसके बारे में पढ़ सकते हैं Microsoft ब्लॉग पर मुद्दों पर.

READ  गुरिल्ला गेम्स बताते हैं कि क्यों क्षितिज निषिद्ध पश्चिम PS4 पर इतना अच्छा काम करता है

पहले भी गहन सुरक्षा मुद्दों के लिए इलेक्ट्रॉन अनुप्रयोगों की खोज की गई है। 2019 की प्रस्तुति ने दिखाया कि कैसे ब्राउज़र कमजोरियों का उपयोग किया जा सकता है स्काइप, स्लैक, व्हाट्सएप और अन्य इलेक्ट्रॉन ऐप्स में कोड इंजेक्शन. इलेक्ट्रॉन डेस्कटॉप व्हाट्सएप एप्लिकेशन मिल गया है 2020 में एक और खामीजो संदेशों में एम्बेडेड जावास्क्रिप्ट के माध्यम से स्थानीय फाइलों तक पहुंच प्रदान करता है।

हम टिप्पणी के लिए माइक्रोसॉफ्ट से संपर्क कर चुके हैं और अगर हमें कोई प्रतिक्रिया मिलती है तो हम इस पोस्ट को अपडेट करेंगे।

वेक्ट्रा अनुशंसा करता है कि यदि डेवलपर्स “आपके ऐप के लिए इलेक्ट्रॉन का उपयोग करें” तो KeyTar जैसे टूल का उपयोग करके OAuth टोकन को सुरक्षित रूप से संग्रहीत करें। वेक्ट्रा के एक सुरक्षा इंजीनियर कॉनर पीपल्स ने डार्क रीडिंग को बताया कि उनका मानना ​​है कि माइक्रोसॉफ्ट इलेक्ट्रॉन से दूर जा रहा है और प्रगतिशील वेब अनुप्रयोगों की ओर बढ़ रहा है, जो कुकीज़ और भंडारण के आसपास बेहतर ओएस-स्तरीय सुरक्षा प्रदान करेगा।

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा.