Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Microsoft Teams (para Windows, Linux y macOS), que permitiría a un atacante local acceder a los tokens de autenticación y cuentas con la autenticación multi-factor (MFA) activada.
El equipo de Vectra Protect analizó Microsoft Teams y encontró un archivo ldb con tokens de acceso en texto sin cifrar. Adicionalmente, esos tokens dan acceso a las API de Outlook y Skype. La mayor preocupación es que esta falla sea explotada por un malware de robo de información. Esto permitiría a los atacantes robar tokens de autenticación de Microsoft Teams e iniciar sesión de forma remota como el usuario, evitando la autenticación multi-factor (MFA) y así obtener acceso total a la cuenta del usuario.
Hasta que un parche sea publicado para mitigar el riesgo, recomendamos a los usuarios cambiar a la versión del navegador del cliente de Microsoft Teams. Al usar Microsoft Edge para cargar la aplicación, los usuarios se benefician de protecciones adicionales contra fugas de tokens.
Los usuarios de Linux tendrían que migrar a una suite de colaboración diferente, especialmente desde que Microsoft anunció planes para dejar de soportar la aplicación para la plataforma en diciembre de 2022.
Para los usuarios que no puedan acceder a una solución diferente de inmediato, pueden crear una regla de supervisión para detectar los procesos que acceden a los siguientes directorios:
- [Windows] %AppData%\Microsoft\Teams\Cookies
- [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
- [macOS] ~/Biblioteca/Soporte de aplicaciones/Microsoft/Teams/Cookies
- [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
- [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
- [Linux] ~/.config/Microsoft/Microsoft Teams/Almacenamiento local/leveldb
Referencias: