จุดอ่อน Microsoft Teams ซึ่งกระทบต่อผู้ใช้บริการทุกท่านที่ใช้งานแอพพลิเคชั่นบน Windows, Mac หรือ Linux.
Microsoft Teams เป็นแพลตฟอร์มแพ็คเกจแบบบูรณาการ Microsoft 365. บริการนี้ถูกใช้งานทั่วโลกโดยผู้ใช้เกือบ 300 ล้านคนสำหรับการประชุมทางวิดีโอ การโทรด้วยเสียง การส่งข้อความ และจัดเก็บ/แชร์ไฟล์ ควรใช้โดยเฉพาะอย่างยิ่งสำหรับธุรกิจและสำนักงาน Microsoft Teams สำหรับ Windows, Linux si Mac ควรมีมาตรฐานความปลอดภัยที่เกี่ยวข้องกับเวลาปัจจุบัน อย่างไรก็ตาม ดูเหมือนว่าการเข้ารหัสของ Microsoft จะมีความสำคัญเพียงเล็กน้อย
ในเดือนสิงหาคม (2022) ทีมนักวิเคราะห์ด้านความปลอดภัยได้ค้นพบ a ความอ่อนแอ Microsoft Teams ซึ่งเห็นได้ชัดว่า Microsoft ไม่ได้ซับซ้อนในการแก้ไขจนถึงขณะนี้
ความอ่อนแอ Microsoft Teams – โทเค็นการพิสูจน์ตัวตนที่ไม่ได้เข้ารหัส
ปัญหาด้านความปลอดภัยที่ค้นพบประกอบด้วยการจัดเก็บโทเค็นการพิสูจน์ตัวตนที่ไม่ได้เข้ารหัสในแอปพลิเคชัน Microsoft Teams สำหรับ Windows, Mac si Linux. แม่นยำยิ่งขึ้น user authentication tokens ถูกเก็บไว้ใน cleartext.
ซึ่งหมายความว่าหากผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์ที่ติดตั้งไว้ได้ Microsoft Teamsเขาจะสามารถนำข้อมูลรับรองการตรวจสอบสิทธิ์จากแอปพลิเคชันและเชื่อมต่อกับบัญชีของเหยื่อได้ นอกจากนี้ ผู้โจมตียังรักษาความปลอดภัยในการเข้าถึง Microsoft Graph API แม้ว่าบัญชีจะได้รับการคุ้มครองด้วย MFA (Multi-factor authentication). ไม่จำเป็นต้องใช้มัลแวร์ขั้นสูงหรือการอนุญาตพิเศษในการเข้าถึงไฟล์ที่มีโทเค็นการตรวจสอบสิทธิ์
ช่องโหว่นี้ (ถ้าผมเรียกมันได้) อาจส่งผลกระทบต่อหลายบริษัททั่วโลก บน Microsoft Teams มีการสนทนาทางธุรกิจ การประชุมภายในองค์กร เซสชันการทำงานเป็นทีม การสัมภาษณ์งาน และมีการส่งข้อมูลที่เป็นความลับ
ส่วนที่น่ากังวลที่สุดคือปัญหานี้ถูกรายงานโดย คนคอนเนอร์ (นักวิเคราะห์ความปลอดภัยทางไซเบอร์) ตั้งแต่เดือนสิงหาคม 2022 และจนถึงขณะนี้ (ครึ่งเดือนกันยายน 2022) Microsoft ยังไม่ได้ดำเนินการใดๆ
จนกว่า Microsoft จะแก้ไขจุดอ่อนนี้ Microsoft Teamsผู้ใช้สามารถป้องกันตัวเองได้โดยใช้แอปพลิเคชันเวอร์ชันเว็บ
ในปี 2022 การเก็บรักษาข้อมูลที่ละเอียดอ่อนเป็นข้อความธรรมดา โทเค็นการพิสูจน์ตัวตนมากขึ้น สำหรับฉันดูเหมือนว่า Microsoft กำลังใช้เทคนิคของยุค 90 เมื่อ Yahoo! Messenger วางการสนทนาในพื้นที่ในรูปแบบข้อความ Microsoft มาพร้อมกับสิ่งพิเศษ เก็บข้อมูลการรับรองความถูกต้อง
