[English]Ich brauche mal das Schwarmwissen der Leserschaft, die bereits mit dem neuen Microsoft Teams 2.x-Client herum fuhrwerkt. Ein Leser hat mich darauf hingewiesen, dass es ein Verhalten gibt, welches die Umgehung der Authentifizierung mit dem Nutzerkonto am Client ermöglichen dürfte. Konkret kann sich ein Dritter nach einer Benutzerabmeldung ohne Eingabe eines Kennworts unter dem Konto neu anmelden. Ich stelle die Informationen des Lesers aber mal zur Diskussion.
Anzeige
Lesermeldung zum Problem
Blog-Leser Markus hat mich die Woche per E-Mail kontaktiert, weil er auf ein Problem beim neuen Microsoft Teams 2.0-Client gestoßen ist, von dem er annimmt, dass das problematisch ist. Wie schrieb er:
Ich bin heute auf ein Thema gestoßen, was mich vom Hocker gehauen hat. Der neue Teams-Client hat seit mindestens Dezember 2023 ein Verhalten, welches in meinen Augen hochproblematisch ist.
Markus hat festgestellt, dass die An- und Abmeldevorgänge wohl im Client gespeichert werden. Das hat dann aber einen unschönen Effekt, wie er schreibt. Loggt sich ein Benutzer im neuen Teams-Client ein, und meldet er sich danach wieder ab, sollte dieser Zugang eigentlich für Dritte gesperrt sein. Markus schrieb mir, dass sich ein Dritter dann an der Anmeldeseite (in der Begrüßungsmaske) wieder in dem Konto einloggen kann, ohne dass eine Passwortnachfrage erfolgt.
Ein paar Details
Die Problemstellung war, schreibt Markus, dass das neue Teams alle jemals genutzten Accounts in der Login-Maske zwischenspeichert. Er wollte diese Liste gerne leeren. Wenn ein Benutzer sich bei einen Account ein- und ausgeloggt hat, sieht die Maske dann so aus:
Anzeige
Soweit, so normal, schreibt Markus, man kennt dies auch vom alten Teams-Client. Neu war für den Leser, dass dass ein Klick auf den Vorschlag (er meint vermutlich den "Testmann-Nutzer") sofort in Teams führt – die Anmeldeinformationen müssen nicht mehr eingeben werden. Dazu schrieb Markus: Beim ersten Login wurde bewusst "Nein, nur bei dieser App anmelden" ausgewählt. Das Online-Konto ist also nicht in den Windows-Einstellungen verknüpft.
Mal genauer geschaut
Markus wollte ursprünglich ja "bloß" diese Liste mit Benutzern leeren. Auf Grund obiger Entdeckung begab er sich dann auf die Suche. Man kann die Anmeldedaten des neuen Microsoft Teams 2-Clients in den Windows-Einstellungen zurücksetzen. Markus hat mir nachfolgenden Screenshot geschickt.
Also hat der Leser dann einen Reset der Microsoft Teams App durchgeführt und hoffte, dass damit auch die Daten im Benutzerprofil bereinigt werden. Danach hat er den Microsoft Teams 2-Client erneut gestartet. Er landete wieder auf der Login-Seite mit dem Vorschlag für seinen Testuser und hat den Eintrag erwartungsvoll angeklickt. Und prompt wurde er ohne Passwortabfrage in das Konto des Testusers eingeloggt. Erkenntnis: Ein Reset der App hilft also nicht.
Wie die Daten löschen
Markus hat die Frage gestellt, wie er die Anmeldedaten der Teams-Benutzer löschten könnte. Eine Befragung einer Suchmaschine wie Google ergab nur wenige Treffer und Antworten im Microsoft Answers-Forum. Aber nach längerer Suche stieß er auf den Microsoft Answers-Foreneintrag New Teams – How do you remove users from the "Pick an account" / Login screen?, der Abhilfe verspricht. Ein Nutzer stellt dort die gleiche Frage, weil er eine entsprechende Beobachtung machte und das am 1. Dezember 2023 im Forum meldete.
While testing "New Teams" I have noticed that the "Pick an account" / Login screen shows the previous users that have logged in, even if they have clicked "sign out".
When clicking on those users, it also logs them in without asking for a password.
After reading other posts here, I have tried deleting the cache here: %LocalAppData%\Packages\MSTeams_8wekyb3d8bbwe
And also deleting the data in this folder: %LocalAppData%\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
Doing this has stopped the accounts from being logged in without a password, but the accounts still appear on the "Pick an account" / Login screen.They do not show in classic teams or any other application and there are no additional accounts in the "Access Work and School" windows setting page.
I have also tried to fully remove and reinstall Teams but the accounts are still visible.
Hört sich nach einer hartnäckigen Kiste an, was die Softwareentwickler (oder -Klempner) in Redmond zusammen gezimmert haben. Markus hat dann eine Lösung für dieses Problem gefunden. Man muss neben dem Teams-Reset zusätzlich noch diese Ordner löschen:
C:\Users\<User>\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy C:\Users\<User>\AppData\Local\Microsoft\TokenBroker C:\Users\<User>\AppData\Local\Microsoft\OneAuth
Der Ordner IdentityCache war im Testszenario des Leser nicht vorhanden, fand sich jedoch beim ursprünglichen Problemfall, der die Untersuchung erst veranlasste. Abschließend gewann Markus die Erkenntnis: Startet man dann Teams (und vorher am besten auch den PC) neu, begrüßt einen wieder die jungfräuliche Loginmaske ohne vordefinierte Optionen, und vor Allem kommt man nicht mehr passwortlos in den Account.
Teams 2.0-Bug bei OneAuth
Der Leser hat dann nach desm Stichwort OneAuth gesucht und ist auf einen 4 Jahre alten Reddit-Thread mit dem Titel How in the crap are my Microsoft Account credentials being cached?? gestoßen. Schon lustig, damals hat sich schon jemand mokiert, dass Microsoft Konten-Anmeldedaten (Credentials) gecached werden.
Markus schließt daraus, dass dieses "OneAuth-Thema also schon länger schwelt". Und er ergänzt, dass Microsoft Teams 2.0 zusätzlich noch "den Bug" aufweist, dass eben keinerlei Logindaten abgefragt werden. Wie schreibt der Leser:
Wer sich also irgendwo auch nur für eine Minute in seinen Teams-Account einloggt unter dem neuen Teams, riskiert, dass später jemand einfach so auf den Account zugreifen kann. Ein einfaches „Abmelden" in Teams reicht nicht aus, sondern man muss tief hinabsteigen und mehrere Ordner löschen.
Der Leser skizziert das Szenario, dass es sicherlich viele Firmen gibt, die Besprechungsräume mit speziellen "Besprechungs-" Windows-Usern betreiben. Dort meldet man sich dann in der Teams-App an und später wieder ab. In Folge werden sich dort auf den Systemen mit der Zeit die Anmeldedaten vieler "Teams Accounts" ansammeln. Microsoft scheint dieses Problem nicht wirklich bekannt zu sein, nicht zu interessieren. Ergänzung: Ist wohl dem Thema "Single sign on" zu verdanken.
Markus meinte dazu: "Ich dachte mir, vielleicht können Sie das in einem Beitrag verarbeiten und so Aufmerksamkeit für dieses Problem erzeugen.", was ich damit umgesetzt habe. Vielleicht testen interessierte Leser das und geben Rückmeldung. Danke an Markus für den Hinweis und die Aufbereitung des Themas.
Problem bereits im Blog erwähnt
Ergänzung: War mir wieder entfallen, Fritz hat das Authentifizierungsproblem bereits Mitte Januar 2024 in diesem Kommentar zu meinem Beitrag Teams 2.0-Umstieg: Abstimmung mit den Füßen? 2/3 noch auf altem Client berichtet.
PowerShell-Lösung zum Löschen der Credentials
In Facebook gab es die Rückmeldung zu meinem Beitrag, dass das Problem bekannt sei und für alle Office-Apps wohl zutreffe. Sebastian hat folgende PowerShell-Befehle angegeben, um den Teams-Cache zu leeren, vielleicht hilft es ja.
Write-Host "Microsoft Teams wird jetzt beendet, um den Cache zu leeren." try{ Get-Process -name ms-teams | Stop-Process -Force Start-Sleep -Seconds 5 Write-Host "Microsoft Teams wurde erfolgreich beendet." } catch{ echo $_ } # Der Cache wird nun geleert try{ Get-ChildItem -Path $env:LOCALAPPDATA\"Packages\MSTeams_8wekyb3d8bbwe" | Remove-Item Get-ChildItem -Path $env:LOCALAPPDATA\"Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy" | Remove-Item Get-ChildItem -Path $env:LOCALAPPDATA\"Microsoft\OneAuth" | Remove-Item Get-ChildItem -Path $env:LOCALAPPDATA\"Microsoft\TokenBroker" | Remove-Item Get-ChildItem -Path $env:LOCALAPPDATA\"Microsoft\IdentityCache" | Remove-Item } catch{ echo $_ } write-host "Der Microsoft Teams Cache wurde erfolgreich geleert."
Ergänzung: Jemand hat im englischsprachigen Blog kommentiert, dass das Löschen der obigen Ordner die komplette Anmeldung für alle MS 365-Dienste entfernt. Und jemand hat dort auch einen Registrierungseintrag für den alten Teams-Client genannt, mit dem man das Verhalten bei der Anmeldung anpassen kann.
Zudem hat mich ein Leser auf Mastodon auf den Techcommunity-Beitrag Upcoming changes to Windows single sign-on vom 14. Dezember 2023 hingewiesen. Microsoft baut gerade die Single Sign On (SSO) Anmeldung für den europäischen Nutzerkreis um.
Ähnliche Artikel:
PSI Software Opfer eines Cyberangriffs (15. Feb. 2024)
Online-Ausweis-Funktion eID mit Schwachstelle CVE-2024-23674
Microsoft & OpenAI stoppen Hacker aus China, Russland, Iran und Nordkorea
Ivantis uralter Software-Klump – fällt auch Sicherheitsforschern auf
Zoom-Client mit Schwachstelle CVE-2024-24691 (13. Feb. 2024)
Schwachstellen in AMD CPUs (Feb. 2024)
Local Privilege Escalation-Schwachstelle CVE-2024-035 in ESET-Produkten gefixt
Anzeige
Zugangsdaten unter Windows / MS Welt werden normalerweise im "Credential Manager" (dt. Anmeldeinformationsverwaltung") gespeichert. So auch für Teams.
Aus diesen und anderen Gründen sind generische User von mir verboten worden. Jeder user muss sich mit einem persönlichen Konto am Konferenz PC anmelden. Das reduziert dann die Gefahr des Credential Caching.
Und wer am verschiedene Benutzer auf einem Benutzerprofil/login arbeiten läßt hat noch ganz andere Probleme!
So ist es. 👍
Im Credential Manager ist auch nichts zu finden. Siehe dazu auch den Foren-Faden bei Microsoft – auch dort war der Credential Manager leer, dennoch gelingt der Login ohne Eingabe eines PW.
spannend, verwende auch Teams 2.0, und habe Einträge von Teams im Credential Manager.
Das Problem ist auch nicht neu. Hatte ich in der letzten Firma schon an den Besprechungs PCs. Habe damals den Besprechungs PCs eine Lizenz auf Basis des Besprechungsraumkontos gegeben. Contentsharing erfolgte ausschließlich über ein weiteres Notebook und Fenster/Bildschirmfreigabe an diesem Gerät an alle Raumteilnehmer.
Das Problem ist bekannt. Hab ich vor Wochen auch schon mal irgendwo gelesen. War das nicht sogar hier?? (ich werde alt)
MS: https://answers.microsoft.com/de-de/msteams/forum/all/passw%C3%B6rter-im-neuen-ms-teams/3fdaf7a8-e5b4-4a43-9201-c5e6d29f3f06
https://www.borncity.com/blog/2024/01/16/teams-2-0-umstieg-abstimmung-mit-den-fen-2-3-noch-auf-altem-client/
Da in den Kommentaren vor 4 Wochen
Ja, das ist uns auch schon aufgefallen.
Ich hatte das hier (https://www.borncity.com/blog/2024/01/16/teams-2-0-umstieg-abstimmung-mit-den-fen-2-3-noch-auf-altem-client/?comment=169555) schon mal thematisiert, aber wenig Antworten bekommen.
Da es einen eher seltenen Usecase (Konferenzraum- oder Schulungsrechner mit generischem Systemaccount, auf den man sich bei Teams aber doch mit dem persönlichen Account anmeldet) betrifft und man User ja auch umgewöhnen kann 😅 hatte ich es nicht weiter verfolgt, sondern auf den wenigen betroffenen Systemen einfach Teams 2.0 rückstandslos entfernt und gesperrt.
Erkenntnisse und Weg der Löschung stimmen weitgehend mit dem oben Geschriebenen überein.
Wer mehrere Anwender den selben User-Account verwenden lässt, hat ganz andere Probleme. Das tatsächliche oder vermeintliche Cache-Verhalten sehe ich deshalb als nicht praxisrelevant.
Zum skizzierten use-case eines geteilten Besprechungsraums:
Für diesen use-case gibt es Raum-Systeme mit einem Ressource-Room-Account, den die Anwender bebuchen können (z.B. via Einladung oder durch Weiterleitung von Besprechungseinladungen). Im Raum hat man dann eine abgeschottete Konsole, an der man sich via Touchscreen in das anstehende Meeting verbinden kann. Das ganze ist so runtergesperrt, dass niemand Blödsinn machen kann.
Nennt sich Microsoft Teams Room System (MTR).
Die MTR unterstützen auch Webex und Zoom Meetings.
Ich habe viel mit Besprechungsraum-Austattung zu tun.
Aber ein System an dem sich die Anwender von Hand an- und abmelden ist mir noch nie untergekommen. Hört sich nach einer Bastelbude an.
Natürlich gibt es auch bebuchbare Raum-Systeme mit Zoom oder von Webex…
Darüber hinaus lassen sich viele Konferenz-Systeme auch so nutzen, dass man (individuelle) Laptops ad-hoc auf die Anlagentechnik durchschleifen kann.
Ich hatte das auch schon festgestellt. Habe es aber vorerst ignoriert so im Sinne von "ist ja noch preview".
Das ist aber so nahe am angekündigten Release nicht mehr in Ordnung.
Nach dem abmelden mit einem Klick wieder angemeldet ohne Passwort. Check.
Bei meinem ersten Test mit dem neuen Geschwür tauchten duzende Microsoft Konten(einige sind geschätzt von 2019) auf welche ich über die Jahre irgend einmal benutzt habe. Ob ein Einloggen ohne Kennwort möglich ist, habe ich nie getestet bei solch alten Konten.
Bei meinem aktiven Konto habe ich aber das selbe Verhalten. Abmelden bringt nix.
Das ist ja mit der schönene neuen Microsoft Cloud Welt aber kein Problem denn man meldet sich ja sowieso immer mit dem Microsoft Cloud Account an und damit ist man SSO sowieso immer drin. Security by design /s
Mann kann sich mit euren Office365 Zugangsdaten einfach so auf irgendeinem Computer anmelden?
Wtf…
bzgl:
https://www.borncity.com/blog/wp-content/uploads/2024/02/image-25.png
ich würde statt dort mal unter den Windows Einstellungen > Konten > Email und Konten schauen und dort entfernen.
Wer so handelt, hat es wohl nicht verstanden… Wie Bob schon schrieb, dafür gibt es MTR oder zumindest die lokalen Profile am Client nach dem Abmelden automatisch löschen. Jedoch MTR ist die bessere Wahl :D
Oder der IT steht nicht das Budget zur Verfügung, das dir zur Verfügung steht. :-)
MTR ist weder automatisch enthalten, noch gibt es die Hardware kostenlos. Aber klar, wer es nicht nutzt, hat es nicht verstanden…
Der eigene Tellerrand scheint manchmal eine große Hürde zu sein.
Das Problem, das Login-Tokens von Teams lokal gespeichert und nicht gelöscht werden, gibt es auch im ersten Teams. Das Problem habe ich vor ca. 1 Jahr schon mit einem Supporttechniker von MS diskutiert.
Gruß Marco
Ihr habt ja alle Recht mit euren Kommentaren zur gemeinsamen Nutzung eines Windows-Accounts. Aber der Kern der Aussage ist doch, dass hier erstmalig nach einem "Abmelden" bei der nächsten Nutzung KEINE erneute Authentifizierung erforderlich ist. Das ist bei allen mir bekannten Konten bzw. Anwendungen bisher nicht der Fall. Wenn's dann dochmal vorkam, dass man sich im Fremdaccount irgendwo angemeldet hat (ohne Kennwortspeicherung natürlich), war das Abmelden immer eine sichere Lösung.
Also ich hab mal was ganz anderes probiert, weil ich Teams nur im Browser benutze (Chrome in meinem Fall und für alles andere nutze ich Firefox).
Schritt 1: Anmelden in Teams
Schritt 2: Rechts oben auf mein Profil-Kringelchen oder Bildchen -> Abmelden/Sign out
Schritt 3: Browser schließen
Schritt 4: Browser geöffnet
Schritt 5: Teams-Url aufgerufen -> Effekt: Fehler auf der Teamsseite, daß er mich nicht an- oder abmelden kann. Shift+Reload auf die Seite – leere Website – das hatte ich übrigens schon öfter.
Schritt 6: Cookies von teams und microsoft gelöscht (die beiden, die er mir für die Seite anzeigt).
Schritt 7: Seite neu laden mit Shift+Reload -> Account-Auswahl kommt (also da steht noch mein voriger Account drin).
Schritt 8: Draufgeklickt – siehe da – zack ich bin drin – ohne Passwort-Eingabe.
Höchst amüsant…