I ricercatori di sicurezza del gruppo Vectra hanno da poco comunicato di aver individuato una grave falla nella versione desktop di Microsoft Teams, la quale consente di trafugare le credenziali dell’account sfruttando i token di autenticazione memorizzati in chiaro su Windows, macOS e Linux, andando ad aggirare la protezione MFA.
Microsoft Teams: credenziali rubate con i token in chiaro
Microsoft Teams per computer si basa su Electron, per cui viene eseguita una finestra del browser con tutti gli elementi normalmente richiesti da una pagina Web (cookie, stringhe di sessione, registri ecc.). Per impostazione predefinita, Electron non supporta la crittografia o le posizioni dei file protette, per cui se da una parte il framework software è versatile e facile da usare, dall’altra non può essere considerato abbastanza sicuro.
Nel cercare di rimuovere gli account disattivati, i ricercatori di Vectra hanno scoperto che un file ldb conteneva i token di accesso in chiaro. Questi erano memorizzati pure in un databse Cookie, unitamente alle informazioni della sessione e dell’account.
Adoperando un client SQLite è stato poi possibile ricavare nome e valore dei token di autenticazione. Per cui, un malintenzionato potrebbe accedere all’account Microsoft Teams anche quando il legittimo proprietario ha abilitato l'autenticazione a doppio fattore.
Anche se la problematica è stata scoperta ad agosto, al momento non è disponibile alcuna patch e Microsoft ha fatto sapere che sta valutando se procedere in tal senso o meno. A prescindere da ciò, è comunque sempre consigliabile equipaggiare il proprio computer con una valida soluzione antivirus, come nel caso di Avast Premium Security.