Microsoft Teams almacena tokens de autentificación en texto claro

Los analistas de seguridad han encontrado una grave vulnerabilidad de seguridad en la aplicación de escritorio para Microsoft Teams que da a los actores de amenazas acceso a tokens de autenticación y cuentas con la autenticación multifactor (MFA) activada.

El problema de seguridad recién descubierto afecta a las versiones de la aplicación para Windows, Linux y Mac y se refiere a Microsoft Teams que almacena tokens de autenticación de usuario en texto sin cifrar sin proteger el acceso a ellos.

Un atacante con acceso local en un sistema donde está instalado Microsoft Teams podría robar los tokens y usarlos para iniciar sesión en la cuenta de la víctima.

"Este ataque no requiere permisos especiales o malware avanzado para salirse con la suya con daños internos importantes", explica Connor Peoples de la compañía de ciberseguridad Vectra en un informe esta semana.

Los investigadores de Vectra descubrieron el problema en agosto de 2022 y lo informaron a Microsoft. Sin embargo, Microsoft no estuvo de acuerdo en la gravedad del problema y dijo que no cumple con los criterios para la aplicación de parches.

Detalles del problema
Microsoft Teams es una aplicación Electron, lo que significa que se ejecuta en una ventana del navegador, completa con todos los elementos requeridos por una página web normal (cookies, cadenas de sesión, registros, etc.).

Electron no admite el cifrado ni las ubicaciones de archivos protegidas de forma predeterminada, por lo que, si bien el marco de software es versátil y fácil de usar, no se considera lo suficientemente seguro para desarrollar productos de misión crítica a menos que se aplique una personalización extensa y un trabajo adicional.

Vectra analizó Microsoft Teams mientras intentaba encontrar una manera de eliminar las cuentas desactivadas de las aplicaciones cliente, y encontró un archivo ldb con tokens de acceso en texto sin cifrar.

"Tras la revisión, se determinó que estos tokens de acceso estaban activos y no un volcado accidental de un error anterior. Estos tokens de acceso nos dieron acceso a las API de Outlook y Skype". - Vectra

Usando este tipo de malware, los actores de amenazas podrán robar tokens de autenticación de Microsoft Teams e iniciar sesión de forma remota como usuario, evitando MFA y obteniendo acceso completo a la cuenta.

Mitigación de riesgos
Con un parche poco probable que se lance, la recomendación de Vectra es que los usuarios cambien a la versión del navegador del cliente de Microsoft Teams. Al usar Microsoft Edge para cargar la aplicación, los usuarios se benefician de protecciones adicionales contra fugas de tokens.

Los investigadores aconsejan a los usuarios de Linux que se muevan a una suite de colaboración diferente, especialmente desde que Microsoft anunció planes para dejar de admitir la aplicación para la plataforma en diciembre.

Para aquellos que no pueden pasar a una solución diferente de inmediato, pueden crear una regla de supervisión para detectar los procesos que acceden a los siguientes directorios:

[Windows] %AppData%\Microsoft\Teams\Cookies
[Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
[macOS] ~/Biblioteca/Soporte de aplicaciones/Microsoft/Teams/Cookies
[macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
[Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
[Linux] ~/.config/Microsoft/Microsoft Teams/Almacenamiento local/leveldb
BleepingComputer se ha puesto en contacto con Microsoft sobre los planes de la compañía para lanzar una solución para el problema y actualizará el artículo cuando obtengamos una respuesta.

Actualización 9/14/22 - Un portavoz de Microsoft nos envió el siguiente comentario con respecto a los hallazgos de Vectra:

La técnica descrita no cumple con nuestra barra para el servicio inmediato, ya que requiere que un atacante primero obtenga acceso a una red de destino.

Apreciamos la asociación de Vectra Protect para identificar y divulgar responsablemente este problema y consideraremos abordarlo en un futuro lanzamiento del producto.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Estoy de acuerdo con la resolución de Microsoft, utilizar un navegador web no lo hará menos riesgoso que utilizar la aplicación ya que los tokens de intercambio y las cookies de sesión también se almacenan en archivos que son fáciles de obtener si tienes acceso al equipo físico.

Este no es un problema de la aplicación como tal sino del Sistema Operativo ya que a diferencia de otros sistemas como Android, iOS, OSX, Linux con Flathub o Snap, las aplicaciones no se encuentran aisladas ni existe un bus de comunicación transversal entre ellas, por lo cual cualquier malware que infecte a un equipo windows podría escalar a obtener cualquier información de cualquier aplicación instalada por el usuario, pero eso es un problema de diseño de Windows y no de la aplicación de Teams ya que lo mismo se podría decir de casi cualquier aplicación de escritorio ya que por mas resguardo o encriptación tengan los datos almacenados se van a tener que desencriptar en algún momento y la llave debería almacenarse dentro del mismo espacio de la aplicación, por lo cual, aunque los datos se encuentren encriptados la llave para desencriptar seguiría expuesta, asi que no hay sentido de aplicar una encriptación a nivel de almacenamiento a menos que exista un sistema de gestión seguro de claves como es el caso del keyring de OSX, Android, iOS o Gnome y Kade en Linux.

Por este mismo motivo los archivos de la aplicación de Gmail, configuraciones de IIS, ODBC y similares no tienen un mecanismo de encriptación nativo de datos de resguardo en disco y en SQL Server es completamente opcional, por lo cual, que no venga habilitado de fábrica no lo hace inmediatamente una aplicación vulnerable, lo mismo sucede con la encriptación de disco a nivel de sistema operativo, como es el caso de Windows cuando encripta el directorio del usuario o en Linux cuando se encripta el home de manera nativa a traves de Luks, que estos sistemas de cifrado de disco no vengan habilitados por defecto no quiere decir que inmediatamente deban tener un CVE asignados.

Creo que el equipo de ciberseguridad de Vectra Protect no tiene muy claro sus definiciones de seguridad aplicativa. Esto es similar a cuando abres las herramientas de desarrollo del navegador WEB y puedes ver tus contraseñas en texto plano viajando en la pestaña de red, eso es normal porque eres tu mismo el que tiene acceso a tu propio equipo y a tu propio navegador, sería diferente si un atacante pudiera tener acceso a observar ese tráfico de manera remota a traves de alguna vulnerabilidad del navegador WEB o del mismo sitio WEB, en este caso sería una vulnerabilidad si un atacante lograse obtener los tokens de intercambio de la aplicación de Teams de forma remota a traves de alguna vulnerabilidad propia de Teams, pero no es así, primero se requiere escalar privilegios y vulnerar el propio Sistema Operativo y luego acceder a los datos de cualquier aplicación instalada, por lo cual, tanto el riesgo de la vulnerabilidad como el resguardo de los datos pertenecen a una capa inferior la cual le corresponde al propio Sistema Operativo y no a la aplicación como tal, lo que si se puede hacer es hardenizar a modo de disminución de riesgo pero nunca podrás evitar que roben la sesión de una aplicación si ya estás infectado y el atacante ya tiene acceso a tu equipo.