Token im Klartext gespeichert

Microsoft ignoriert Sicherheitslücke in Teams

Cyberkriminelle können Anmelde-Token aus Microsoft Teams klauen, die lokal gespeichert wurden. Trotz Warnung veröffentlicht Microsoft vorerst keinen Patch.
Von 
CSO | 20. September 2022 13:33 Uhr
Obwohl die Sicherheitsforscher von Vectra Microsoft bereits im August über die Sicherheitslücke in Teams informierten, gibt es noch keinen Patch dafür.
Obwohl die Sicherheitsforscher von Vectra Microsoft bereits im August über die Sicherheitslücke in Teams informierten, gibt es noch keinen Patch dafür.
Foto: fizkes - shutterstock.com

Die Sicherheitsforscher von Vectra haben eine Schwachstelle in Microsoft Teams entdeckt. Aufgrund des Fehlers werden Anmelde-Token lokal und unverschlüsselt gespeichert. Dies ist ein gefundenes Fressen für Cyberkriminelle, die die Anmeldedaten stehlen können, sobald sie Zugriff auf das Dateisystem des PCs erhalten. Dafür müssen sie scheinbar nicht einmal die Zweifaktor-Authentifizierung umgehen. Die Sicherheitslücke betrifft die Windows-, Linux- sowie MacOS-Versionen des Kollaboration-Tools.

"Unsere Untersuchung ergab, dass die Teams-App von Microsoft die Authentifizierungs-Token im Klartext speichert. Mit diesen Token können Angreifer die Identität des Token-Inhabers für alle Aktionen annehmen, die über den Client von Microsoft Teams möglich sind, einschließlich der Verwendung dieses Tokens für den Zugriff auf API-Funktionen von Microsoft Graph - und zwar vom System eines Angreifers aus", erklärt Connor Peoples, SSPM Architect bei Vectra.

Lesetipp: Cisco entdeckt neue Spionage-Malware

Schwachstelle im Electron-Framework

Bereits im August 2022 hatten die Vectra-Forscher das Problem entdeckt und an Microsoft gemeldet, eine CVE-Nummer wurde bislang jedoch nicht vergeben. Microsoft habe den Fall mit der Begründung geschlossen, dass er nicht dringend genug sei für ein sofortiges Sicherheitsupdate.

Wie Vectra herausfand, liegt das Problem in dem von Microsoft Teams verwendeten Framework "Electron". Eine solche Anwendung wird in einem angepassten Browser-Fenster ausgeführt und enthält alle Elemente einer klassischen Webseite wie Cookies, Protokolle und Ablaufdaten von Sitzungen. Zwar sei Electron sehr praktisch, da es die Entwicklung schnell und einfach mache, doch das Framework unterstütze keine standardmäßigen Browser-Kontrollen wie die Verschlüsselung. Auch systemgeschützte Dateiorte werden von Electron nicht standardmäßig unterstützt und müssen verwaltet werden, um sicher zu bleiben.

Lesetipp: Wie Azure AD neue Authentifizierungsrisiken eröffnet

Sorge vor Phishing-Angriffen

Aufgrund von Electron speichert Microsoft Anmeldeinformationen fälschlicherweise als Klartext. Schnappen Cyberkriminelle sich die Login-Daten, erhalten sie die Kontrolle über SharePoint-Dateien, Outlook-Mails und -Kalender sowie Chat-Dateien von Teams. Microsoft wolle erst später einen Patch für die Sicherheitslücke bereitstellen. Dem Hersteller zufolge bräuchte ein Angreifer ohnehin einen kompromittierten PC, um auf die Token zugreifen zu können.

Im Gegensatz zu Microsoft zeigen sich die Sicherheitsforscher von Vectra sehr besorgt: "Für diesen Angriff sind keine besonderen Berechtigungen oder fortgeschrittene Malware erforderlich, um großen internen Schaden anzurichten. Mit einer ausreichenden Anzahl kompromittierter Computer können Angreifer die Kommunikation innerhalb eines Unternehmens bestimmen. Indem sie die volle Kontrolle über kritische Stellen übernehmen, wie zum Beispiel bei der Arbeit des Head of Engineering, des CEO oder des CFO eines Unternehmens, können Angreifer letztlich Benutzer davon überzeugen, Aufgaben auszuführen, die dem Unternehmen schaden."

Die Analysten raten davon ab, den Teams-Client zu verwenden, solange Microsoft das Problem nicht behoben hat. Stattdessen sollten Nutzer den webbasierten Teams-Client in Microsoft Edge verwenden, da dieser über mehrere Steuerelemente auf Betriebssystemebene verfüge, um undichte Stellen bei Tokens auszuschließen.

Lesetipp: Schlechte Noten für die Cybersicherheit in Deutschland

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.