Microsoft Teamsの認証トークンが平文で保存されていることからアカウント乗っ取りの危険性があると研究者が警告

GIGAZINE



オンラインビデオ会議ツール「Microsoft Teams」のデスクトップアプリで、認証トークンや多要素認証(MFA)をオンにしたユーザーアカウントに攻撃者がアクセスできる深刻なセキュリティ脆弱(ぜいじゃく)性があることが分かりました。

Undermining Microsoft Teams Security by Mining Tokens
https://www.vectra.ai/blogpost/undermining-microsoft-teams-security-by-mining-tokens

Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs
https://www.bleepingcomputer.com/news/security/microsoft-teams-stores-auth-tokens-as-cleartext-in-windows-linux-macs/

セキュリティ企業のVectraによると、今回発見されたセキュリティ上の問題は、Microsoft Teamsがユーザー認証トークンを平文で保存してアクセスを保護していないことが原因でした。

Microsoft Teamsはソフトウェアフレームワーク「Electron」ベースのアプリで、通常のウェブページが必要とするCookieやセッションID、ログなどを完備したブラウザウィンドウで実行されるアプリです。

Electronのソフトウェアのフレームワークは汎用的で使いやすいものの、暗号化や保護されたファイルロケーションをデフォルトでサポートしていないため、致命的欠陥が許されない製品を開発するにあたって十分な安全性を確保するためには、大規模なカスタマイズや追加作業が必要になると考えられています。

VectraがMicrosoft Teamsから古いアカウントを削除する方法を模索していたところ、アカウントの認証にまつわるアクセストークンが平文で記述されたldbファイルを発見したとのこと。さらに別のフォルダからはセッションIDや広告タグを含むCookieが見つかり、ここにもトークンが平文で保存されていたそうです。

次に、Vectraは自分自身にメッセージを送信できるようにするAPIコールを悪用したエクスプロイトを開発しました。これにより、SQLiteを使って前述のCookieデータベースを読み込むことで、メッセージとして認証トークンを受け取ることができたとのことです。


Vectraは「最大の懸念は、この欠陥が情報を盗むマルウェアによって悪用されることです。攻撃者がマルウェアを用いてMicrosoft Teamsの認証トークンを盗み、リモートでユーザーとしてログインし、MFAをバイパスしてアカウントへのフルアクセスが可能になることが懸念されます」と述べました。

Vectraは2022年8月にこの脆弱性を発見してMicrosoftに報告しているものの、MicrosoftはVectraが提示する深刻度について同意せず、パッチの適用基準を満たさないとしています。ニュースサイト・BleepingComputerがMicrosoftに問い合わせたところ、「この戦略において、攻撃者は最初にターゲットのネットワークにアクセスする必要があるため、直ちに修正が必要だという基準を満たしてはいません。我々は、この問題を特定し、責任を持って公表してくれたVectraの協力に感謝し、将来の製品リリースでの対応を検討します」という返答が得られたそうです。

パッチがリリースされる見込みがないことから、VectraはユーザーにMicrosoft Teamsを使用するにあたってアプリではなくブラウザ版を用いることを推奨しています。

この記事のタイトルとURLをコピーする

Source

タイトルとURLをコピーしました