ผู้เชี่ยวชาญพบ Microsoft Teams เก็บ Authentication Token แบบไม่เข้ารหัส

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Vectra AI พบ Microsoft Teams เก็บ Authentication Token แบบ Cleartext ไม่มีการเข้ารหัส

ผู้เชี่ยวชาญจาก Vectra AI ได้ค้นพบจุดอ่อนนี้โดยบังเอิญในระหว่างการหาวิธีลบ Disable Account ออกจาก Client App โดยพบว่าในไฟล์ ldb มีการเก็บ Access Token เป็นแบบ Cleartext และไม่มีการเข้ารหัสใดๆ โดย Access Token นี้สามารถนำไปใช้ในการเข้าถึง Outlook และ Skype API ได้ นอกจากนี้ยังพบว่า มีการเก็บฐานข้อมูล Cookies ที่มีข้อมูล Access Token เอาไว้เช่นเดียวกัน ซึ่งสามารถใช้ Sqlite 3 database client เปิดอ่านได้อย่างง่ายดาย โดยมีการทดลองนำ Access Token ที่ได้มา ใช้ส่งข้อความหาตัวเองผ่านทาง Skype API ก็สามารถส่งข้อความได้สำเร็จ ช่องโหว่นี้พบใน Microsoft Teams Client เวอร์ชัน Desktop บน Windows, Linux และ Mac ที่ถูกพัฒนาด้วย Electron app

Vectra ได้รายงานไปยัง Microsoft ตั้งแต่เดือนสิงหาคมที่ผ่านมา แต่ปัจจุบัน Microsoft ยังไม่ได้ออกแพตช์เพื่ออุดจุดอ่อนดังกล่าวแต่อย่างใด ซึ่งสร้างความกังวลว่าอาจเป็นช่องทางให้ผู้ไม่หวังดีใช้วิธีการสร้าง Phishing Campaign หรือมัลแวร์ขึ้นมาเพื่อขโมย Access Token นี้ เพื่อนำไปสร้างความเสียหายอื่นๆได้ Vectra ได้แนะนำให้หันไปใช้งาน Microsoft Teams เวอร์ชันเว็บเป็นการชั่วคราวในระหว่างที่รอการแก้ไขจาก Microsoft ส่วนผู้ดูแลระบบควรเพิ่มการตรวจสอบการเข้าถึงรายการไฟล์ตามด้านล่างนี้ในเครื่องผู้ใช้งาน ว่ามีการเข้าถึงจากแอพพลิเคชันอื่นที่ไม่ใช่ Microsoft Teams Client หรือไม่

  • [Windows] %AppData%\Microsoft\Teams\Cookies
  • [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

Cloudflare ประกาศโปรเจ็ค Turnstile มุ่งหน้าทดแทนการใช้งาน CAPTCHAs สู่แนวทางใหม่

Cloudflare ได้เปิดให้ผู้สนใจสามารถเข้ามาเรียก API ในโปรเจ็คใหม่ของตนที่ชื่อ Turnstile โดยไอเดียก็คือการพิสูจน์ผู้ใช้งานด้วยมุมมองที่เหนือชั้นกว่า CAPTCHAs แบบเดิมที่ Cloudflare มองว่ายังมีหลายปัญหาที่ต้องแก้ไขและประสิทธิภาพต่ำกว่าที่ควร

[Guest Post] งานแสดงเทคโนโลยีธุรกิจ 5G แห่งอนาคต เริ่มอย่างเป็นทางการแล้ววันนี้!!

เปิดประสบการณ์สู่โลกของธุรกิจเทคโนโลยีไร้สายความเร็วสูง 28-29 กันยายน ณ สามย่านมิตรทาว์นฮอลล์ ชั้น 5 สามย่านมิตรทาวน์ กรุงเทพฯ