Microsoft Teams speichert Authentifizierungs-Tokens recht fahrlässig
Auch den eigentlich recht erfahrenen Entwicklern Microsofts unterlaufen zuweilen Fehler, deren Vermeidung eigentlich zum Basis-Wissen gehören sollte. Aktuell zeigt sich dies daran, dass Angreifer recht leicht Zugang zu Token der Teams-Plattform bekommen.
Durch den Diebstahl von Authentifizierungs-Tokens ist es möglich, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, die Konten eigentlich ziemlich gut vor unbefugten Zugriffen schützt. Daher ist es wichtig, die Tokens, mit denen Zugriffe während einer Session genehmigt werden, vor Diebstahl zu schützen. Genau hier hat Microsofts Teams aber ein Problem.
Laut eines Berichts des US-Magazins BleepingComputer betrifft das von Security-Forschern entdeckte Sicherheitsproblem die Desktop-Apps von Teams - sowohl unter Windows, MacOS als auch Linux. Die Authentifizierungs-Tokens werden von diesen Anwendungen im Klartext gespeichert, ohne dass es noch einen weiteren Schutz gegen unberechtigte Zugriffe gäbe.
Angreifer können die Tokens nutzen, um beispielsweise sensible Informationen über die Vorgänge in einem Unternehmen zu erlangen. Aber nicht nur ein solches passives Vorgehen ist möglich. Wenn man beispielsweise an die Tokens von Führungskräften gelangt, ist dies ein hervorragender Startpunkt für das Social Engineering: Mitarbeiter eines Unternehmens können so dazu gebracht werden, problematische Aktionen einzuleiten, weil sie annehmen, die Anweisungen kämen vom Vorgesetzten.
Die Vectra-Forscher entdeckten das Problem im August und meldeten es an Microsoft. Beim Redmonder Konzern stimmte man jedoch nicht mit der Einschätzung über die Schwere des Problems überein und erklärte, dass es nicht die Kriterien für die umgehende Herausgabe eines Patches erfüllte.
Siehe auch:
Laut eines Berichts des US-Magazins BleepingComputer betrifft das von Security-Forschern entdeckte Sicherheitsproblem die Desktop-Apps von Teams - sowohl unter Windows, MacOS als auch Linux. Die Authentifizierungs-Tokens werden von diesen Anwendungen im Klartext gespeichert, ohne dass es noch einen weiteren Schutz gegen unberechtigte Zugriffe gäbe.
Startpunkt fürs Social Engineering
Das gilt zumindest über die allgemeinen Schutzmechanismen des Betriebssystems hinaus. Wer immer lokalen Zugang zum Computer-Account des jeweiligen Anwenders hat, kann die Tokens entwenden und für einen eigenen Zugriff auf den jeweiligen Teams-Account nutzen. "Für diesen Angriff sind keine besonderen Berechtigungen oder fortgeschrittene Malware erforderlich, um einen großen internen Schaden anzurichten", erklärte Connor Peoples vom Sicherheitsunternehmen Vectra.Angreifer können die Tokens nutzen, um beispielsweise sensible Informationen über die Vorgänge in einem Unternehmen zu erlangen. Aber nicht nur ein solches passives Vorgehen ist möglich. Wenn man beispielsweise an die Tokens von Führungskräften gelangt, ist dies ein hervorragender Startpunkt für das Social Engineering: Mitarbeiter eines Unternehmens können so dazu gebracht werden, problematische Aktionen einzuleiten, weil sie annehmen, die Anweisungen kämen vom Vorgesetzten.
Die Vectra-Forscher entdeckten das Problem im August und meldeten es an Microsoft. Beim Redmonder Konzern stimmte man jedoch nicht mit der Einschätzung über die Schwere des Problems überein und erklärte, dass es nicht die Kriterien für die umgehende Herausgabe eines Patches erfüllte.
Siehe auch:
Thema:
Videos zum Thema
Beliebte Microsoft Teams-Downloads
Jabra Evolve 2 im Preisvergleich
Amazon.de 
Galaxus 
Visunext 
Edu.de 
Playox.de Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Wird Windows Version 27H2 das größte Update seit Langem?
- Kunde zahlt RTX 5070, doch Amazon liefert nur einen alten DVD-Brenner
- Disney+ europaweit eingeschränkt: Dolby-Vision-Streit geht weiter
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen