TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ผู้เชี่ยวชาญด้านความปลอดภัยจาก Vectra AI พบ Microsoft Teams เก็บ Authentication Token แบบ Cleartext ไม่มีการเข้ารหัส
ผู้เชี่ยวชาญจาก Vectra AI ได้ค้นพบจุดอ่อนนี้โดยบังเอิญในระหว่างการหาวิธีลบ Disable Account ออกจาก Client App โดยพบว่าในไฟล์ ldb มีการเก็บ Access Token เป็นแบบ Cleartext และไม่มีการเข้ารหัสใดๆ โดย Access Token นี้สามารถนำไปใช้ในการเข้าถึง Outlook และ Skype API ได้ นอกจากนี้ยังพบว่า มีการเก็บฐานข้อมูล Cookies ที่มีข้อมูล Access Token เอาไว้เช่นเดียวกัน ซึ่งสามารถใช้ Sqlite 3 database client เปิดอ่านได้อย่างง่ายดาย โดยมีการทดลองนำ Access Token ที่ได้มา ใช้ส่งข้อความหาตัวเองผ่านทาง Skype API ก็สามารถส่งข้อความได้สำเร็จ ช่องโหว่นี้พบใน Microsoft Teams Client เวอร์ชัน Desktop บน Windows, Linux และ Mac ที่ถูกพัฒนาด้วย Electron app
Vectra ได้รายงานไปยัง Microsoft ตั้งแต่เดือนสิงหาคมที่ผ่านมา แต่ปัจจุบัน Microsoft ยังไม่ได้ออกแพตช์เพื่ออุดจุดอ่อนดังกล่าวแต่อย่างใด ซึ่งสร้างความกังวลว่าอาจเป็นช่องทางให้ผู้ไม่หวังดีใช้วิธีการสร้าง Phishing Campaign หรือมัลแวร์ขึ้นมาเพื่อขโมย Access Token นี้ เพื่อนำไปสร้างความเสียหายอื่นๆได้ Vectra ได้แนะนำให้หันไปใช้งาน Microsoft Teams เวอร์ชันเว็บเป็นการชั่วคราวในระหว่างที่รอการแก้ไขจาก Microsoft ส่วนผู้ดูแลระบบควรเพิ่มการตรวจสอบการเข้าถึงรายการไฟล์ตามด้านล่างนี้ในเครื่องผู้ใช้งาน ว่ามีการเข้าถึงจากแอพพลิเคชันอื่นที่ไม่ใช่ Microsoft Teams Client หรือไม่
- [Windows] %AppData%\Microsoft\Teams\Cookies
- [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
- [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
- [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
- [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
- [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb
