漏洞 Microsoft Teams – 明文验证令牌 (2022)

一个漏洞 Microsoft Teams 这会影响使用该应用程序的所有服务用户 Windows, Mac 或 Linux.

Microsoft Teams 是一个集成的封装平台 Microsoft 365. 该服务在全球范围内被近 300 亿用户用于视频会议、语音通话、短信和存储/文件共享。 尤其适用于商业和 office 应该 Microsoft Teams 为 Windows, Linux si Mac 它应该有一个与当前时代相关的安全标准。 但是,对于微软来说,加密似乎并不重要。


2022 年 XNUMX 月,一个安全分析师团队发现了一个 漏洞 Microsoft Teams 显然,直到现在,微软还没有复杂地解决这个问题。

漏洞 Microsoft Teams – 未加密的身份验证令牌

发现的安全问题在于应用程序中身份验证令牌的未加密存储 Microsoft Teams 为 Windows, Mac si Linux. 更确切地说 user authentication tokens 被保存在 cleartext.

漏洞 Microsoft Teams - 明文验证令牌 (2022)
漏洞 Microsoft Teams

这意味着如果攻击者可以访问安装它的计算机 Microsoft Teams,他将能够从应用程序中获取身份验证凭据并连接到受害者的帐户。 此外,攻击者可以保护访问 Microsoft Graph API 即使该帐户受到保护 MFA (Multi-factor authentication)。 访问包含身份验证令牌的文件不需要高级恶意软件或特殊权限。

这个漏洞(如果我可以这么说的话)会影响世界各地的许多公司。 上 Microsoft Teams 有商业对话、组织内的会议、团队工作会议、举行工作面试和发送机密数据。

最令人担忧的部分是这个问题被报告了 康纳人民 (网络安全分析师)自 2022 年 2022 月以来,直到现在(XNUMX 年 XNUMX 月的一半)微软尚未采取任何行动。

直到微软解决这个漏洞 Microsoft Teams,用户可以使用应用程序的网络版本保护自己。

在 2022 年,以明文形式保存敏感数据,甚至更多的身份验证令牌,在我看来,微软正在使用 90 年代的技术,当时 Yahoo! Messenger 以文本格式粘贴本地对话。 微软提供了一些额外的东西。 保留认证数据。

如何以 » 防病毒和安全性 » 漏洞 Microsoft Teams – 明文验证令牌 (2022)

对技术充满热情,我喜欢测试和编写有关操作系统的教程 macOS, Linux, Windows, 关于 WordPress, WooCommerce 和配置 LEMP 网络服务器 (Linux、NGINX、MySQL 和 PHP)。 我写在 StealthSettings.com 自 2006 年以来,几年后我开始撰写 iHowTo.Tips 教程和有关生态系统中设备的新闻 Apple: iPhone,iPad, Apple 手表,HomePod, iMac, MacBook、AirPods 和配件。

发表评论