De desktopversie van Microsoft Teams slaat de inloggegevens van gebruikers zonder versleuteling op. Onderzoekers informeerden Microsoft over de kwetsbaarheid, maar de techgigant negeerde het probleem.

De kwetsbaarheid werd gevonden door securitybedrijf Vectra. De desktopversie van Teams bewaart niet-versleutelde user authentication tokens. User authentication tokens maken het mogelijk om op de account van een gebruiker in te loggen, ongeacht of de gebruiker meerstapsverificatie gebruikt. Het gebrek aan versleuteling stelt hackers in staat om de tokens te misbruiken.

De tokens worden opgeslagen op het apparaat waarop Teams is geïnstalleerd. Een hacker met toegang tot het apparaat heeft toegang tot de tokens. “Deze aanval vereist geen machtigingen of geavanceerde malware”, vertelde securityprofessional Connor Peoples namens Vectra.

De kwetsbaarheid is aanwezig in de desktopversies voor Windows, Linux en Mac. Vectra informeerde Microsoft in augustus 2022 over het probleem. Volgens Vectra vond Microsoft de kwetsbaarheid niet ernstig genoeg voor een patch. Vandaar stapte het securitybedrijf onlangs naar de pers.

Kwetsbaarheid in Microsoft Teams

Microsoft Teams is gebaseerd op Electron, een framework voor software. Electron-applicaties draaien in browsers en ondersteunen dezelfde functies als webpagina’s, waaronder cookies en logs.

De standaardversie van het framework biedt geen versleuteling. Vandaar wordt de standaardversie zelden gebruikt voor grootschalige en gevoelige applicaties. Microsoft Teams is een uitzondering op de regel.

Tijdens een analyse van Microsoft Teams stuitte Vectra op een lbd-bestand met niet-versleutelde access tokens. Daarbovenop bevatte de Cookies-map accountinformatie en sessiegegevens.

Vectra ontwikkelde een API om de access tokens van Teams-gebruikers naar zichzelf toe te sturen. Cybercriminelen kunnen de kwetsbaarheid met dezelfde methode misbruiken. De voorwaarde is lokale toegang tot het systeem waarop Microsoft Teams is geïnstalleerd.

Voorkomen

Het is onwaarschijnlijk dat Microsoft op de korte termijn een patch publiceert. De techgigant werd in augustus 2022 geïnformeerd en weigerde de software te updaten. Het is mogelijk dat de bekendmaking van de kwetsbaarheid een reactie uitlokt, maar we rekenen nergens op.

Vectra adviseert gebruikers om de desktopversies van Teams volledig te vermijden. De browserversie zou veiliger zijn. Linux-gebruikers worden geadviseerd om een nieuw communicatieplatform te vinden, aangezien Microsoft het besturingssysteem vanaf december 2022 niet meer ondersteunt.

Website BleepingComputer vroeg Microsoft om een verklaring, maar kreeg aanvankelijk geen reactie.

Tip: Data privacy: van noodzakelijke security-stap tot competitief voordeel