{"id":272962,"date":"2022-09-18T00:05:00","date_gmt":"2022-09-17T22:05:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272962"},"modified":"2024-06-17T14:16:36","modified_gmt":"2024-06-17T12:16:36","slug":"microsoft-teams-speichert-authentifizierungstoken-als-klartext-in-windows-linux-macs","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/18\/microsoft-teams-speichert-authentifizierungstoken-als-klartext-in-windows-linux-macs\/","title":{"rendered":"Microsoft Teams speichert Authentifizierungstoken als Klartext in Windows, Linux, Macs"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Desktop-App f\u00fcr Microsoft Teams speichert auf den Plattformen Linux, macOS und Windows die Authentifizierungstoken als Klartext ab. Dies erm\u00f6glicht Angreifern den Zugriff auf Konten mittels dieser Tokens, selbst wenn eine Multi-Faktor-Authentifizierung (MFA) aktiviert wurde. Kunden sollten auf die Web-Anwendungen f\u00fcr Teams zur\u00fcckgreifen oder die Zugriffe auf die MS Teams Daten durch Prozesse \u00fcberwachen, da Microsoft diese Schwachstelle nicht umgehend schlie\u00dfen wird.<\/p>\n

<\/p>\n

Microsoft Teams<\/h2>\n

\"\"Microsoft Teams<\/a> ist eine von Microsoft entwickelte Kommunikations- und Kolloborations-Plattform, die Chat, Besprechungen, Notizen und Anh\u00e4nge kombiniert. Der Dienst Teams ist in die Microsoft 365-Suite mit Microsoft Office und Skype\/Skype for Business integriert. Von Microsoft wird Teams als \"das Beste, seit Erfindung von geschnitten Brot\" vermarket. Bei mir rollen sich immer die Fu\u00dfn\u00e4gel hoch, wenn ich Microsoft Teams h\u00f6re und an IT-Sicherheit sowie Datenschutz denke (siehe Links am Beitragsende).<\/p>\n

Sicherheitsalptraum Electron-Framework<\/h2>\n

Microsoft Teams ist ein Dienst, der auf den Clients mit einer \"zusammen geklickten\" App genutzt werden kann. Diese App verwendet das Electron-Framework<\/a>, was f\u00fcr mich der wahrgewordene Alptraum in Punkto Sicherheit darstellt. Ich erinnere nur an meinen Beitrag Microsoft Teams und die Sicherheit \u2026<\/a> aus dem Jahr 2020, wo ich explizit auf das Electron Framework und eine darin enthaltene uralte Chrome-Browser-Version hingewiesen habe. Wer dieses Framework einsetzt, hantiert mit einer Black-Box.<\/p>\n

Der Stein des Ansto\u00dfes<\/h3>\n

Die Sicherheitsforscher begannen, sich Microsoft Teams n\u00e4her anzusehen, weil ein Kunde von Vectra Protect sich dar\u00fcber beschwerte, wie Microsoft Teams deaktivierte Identit\u00e4ten verwaltet. Endbenutzer k\u00f6nnen deaktivierte Konten nicht \u00fcber die Benutzeroberfl\u00e4che entfernen, da die Teams-Anwendung erfordert, dass das Konto angemeldet ist, um es aus dem Client zu entfernen.<\/p>\n

Das ist irgendwie auch nachvollziehbar, dass Benutzer ein deaktiviertes Benutzerkonto nicht mehr l\u00f6schen k\u00f6nnen, da ja keine Anmeldung mehr m\u00f6glich ist. Die Vectra-Leute wollten dieses Problem aber l\u00f6sen und haben sich die lokalen Konfigurationsdaten innerhalb des Teams-Clients angesehen und herausgefunden, wie sie funktionieren.<\/p>\n

Die Hypotheken des Electron-Framework<\/h3>\n

Bei der Untersuchung stie\u00dfen sie auf das Electron-Framework, mit dem die Microsoft Teams-App erstellt wird. Mit Electron l\u00e4sst sich eine Webanwendung erstellen, die \u00fcber einen angepassten Browser ausgef\u00fchrt wird. Dies ist sehr praktisch und macht die Entwicklung schnell und einfach. Microsoft setzt auf Electron, um die App auf verschiedenen Plattformen bereitzustellen.<\/p>\n

Das ist nachvollziehbar, aber Entwickler, die die Funktionsweise von Electron nicht vollst\u00e4ndig verstehen, erstellen m\u00f6glicherweise zu transparente Anwendungen. Denn die Ausf\u00fchrung eines Webbrowsers im Kontext einer Anwendung erfordert die Verwendung herk\u00f6mmlicher Browserdaten wie Cookies, Sitzungszeichenfolgen und Protokolle. Und hier liegen dann die Haken, die sicherheitstechnisch zum Alptraum werden k\u00f6nnen.<\/p>\n

Da das Electron-Framework die Komplexit\u00e4t der Anwendungserstellung verschleiert, d\u00fcrften sich die Entwickler der Auswirkungen ihrer Designentscheidungen selten bewusst sein. Electron unterst\u00fctzt keine Standard-Browser-Funktionen wie Verschl\u00fcsselung. Systemgesch\u00fctzte Dateispeicherorte werden von Electron nicht standardm\u00e4\u00dfig unterst\u00fctzt und m\u00fcssen vom Entwickler selbst verwaltet und abgesichert werden. Sicherheitsexperten beklagen daher seit langem die Verwendung des Electron Frameworks als Sicherheitsrisiko.<\/p>\n

Authentifizierungstokens im Klartext<\/h2>\n

Als das Vectra Protect-Team im August 2022 dem Kundenproblem nachging, stie\u00dfen sie auf einen m\u00f6glichen Angriffspfad in Microsoft Teams. Dieser erm\u00f6glichte es b\u00f6swilligen Akteuren mit Zugriff auf das Dateisystem die Anmeldedaten (Authentifizierungstoken) f\u00fcr jeden angemeldeten Microsoft Teams-Benutzer zu stehlen. Denn diese Daten liegen im Benutzerprofil.<\/p>\n

Die weitere Untersuchung ergab, dass die Microsoft Teams App Authentifizierungs-Token im Klartext speichert. Mit diesen Token k\u00f6nnen Angreifer die Identit\u00e4t des Token-Inhabers f\u00fcr alle Aktionen annehmen, die \u00fcber den Microsoft Teams-Client m\u00f6glich sind. Das schlie\u00dft auch die Verwendung dieses Tokens f\u00fcr den Zugriff auf Microsoft Graph API-Funktionen von den Systemen des Angreifers ein.<\/p>\n

Noch schlimmer ist, dass diese gestohlenen Token es Angreifern erm\u00f6glichen, Aktionen gegen Konten durchzuf\u00fchren die per Multi-Faktor-Authentifizierung (MFA) gesichert sind. Dadurch l\u00e4sst sich die MFA-Absicherung umgehen. Die Schwachstelle betrifft alle kommerziellen und GCC Desktop Teams Clients f\u00fcr Windows, Mac und Linux. Die Details lassen sich bei Interesse in diesem Beitrag nachlesen.<\/p>\n

Microsoft schlie\u00dft den Fall<\/h2>\n

Nat\u00fcrlich haben die Vectra-Leute diese Entdeckung an Microsoft als Sicherheitsl\u00fccke gemeldet und hofften auf deren schnelle Beseitigung. Heraus kam, dass Microsoft sich dieses Problems bewusst ist. Das Microsoft Sicherheitsteam hat den gemeldeten Fall mit der Begr\u00fcndung geschlossen, dass diese Meldung die Anforderungen f\u00fcr eine sofortige Bearbeitung nicht erf\u00fcllt. Sprich: Es wird irgendwann, m\u00f6glicherweise eine Aktualisierung der Microsoft Teams-Apps geben, die diese Schwachstelle schlie\u00dft. Das ist irgendwie klar, denn die Entwickler m\u00fcssen die Verwaltung der Token selbst um das Electron Framework herum stricken.<\/p>\n

Bis Microsoft die Teams-Desktop-Anwendung aktualisiert, sollten Kunden ausschlie\u00dflich die webbasierte Teams-Anwendung verwenden, so die Empfehlung von Vectra. F\u00fcr Kunden, die die installierte Desktop-Anwendung verwenden m\u00fcssen, sollten Zugriffe auf wichtige Anwendungsdateien durch andere Prozesse als die offizielle Teams-Anwendung \u00fcberwacht werden, um einen Missbrauch vorzeitig zu bemerken. (via).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Teams: XPC-Schwachstelle, wird nicht (zeitnah) gepatcht<\/a>
\nFix f\u00fcr Microsoft Teams Performance-Probleme<\/a>
\nMicrosoft Teams mit \u201aOps'-Anzeige gest\u00f6rt? (22.10.2020)<\/a>
\nTeams Speicherort f\u00fcr Compliance-Aufzeichnungen ge\u00e4ndert, brickt Scripte<\/a>
\nMalware kann Microsoft Teams Updater missbrauchen<\/a>
\nMS Teams: Bug verhindert Whiteboard-Nutzung in Europa<\/a>
\nVerursacht Windows 10 VPN-Bug-Fix Update Teams-Probleme?<\/a>
\nMS Teams wegen Zertifikatsfehler down (3.2.2020)<\/a>
\nZoom & Teams nicht DSGVO-konform einsetzbar<\/a>
\nMS-Teams: Bei Windows Server auf virtuellen Speicher achten<\/a>
\nMicrosoft Teams: Schwachstelle erlaubte Konten\u00fcbernahme<\/a>
\nMicrosoft Teams und die Sicherheit \u2026<\/a>
\nOffice 365 war \u00fcber Teams-Netzwerkschwachstelle angreifbar<\/a>
\nMicrosoft Teams: Sicherheitsforscher finden eine von einem von Wurm ausnutzbare Zero-Klick RCE-Schwachstelle<\/a>
\nWindows 11: Microsoft macht Startmen\u00fc\/Taskleiste mit Teams-Promo kaputt<\/a>
\nMicrosoft Teams Bugs: Notrufe blockiert, Phishing-L\u00fccke seit M\u00e4rz 2021<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Desktop-App f\u00fcr Microsoft Teams speichert auf den Plattformen Linux, macOS und Windows die Authentifizierungstoken als Klartext ab. Dies erm\u00f6glicht Angreifern den Zugriff auf Konten mittels dieser Tokens, selbst wenn eine Multi-Faktor-Authentifizierung (MFA) aktiviert wurde. Kunden sollten auf die Web-Anwendungen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,5595],"class_list":["post-272962","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-teams"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272962"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272962\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}