Microsoft-Token erzeugt eine Sicherheitslücke in Teams

Die Versionen für die Betriebssysteme Windows-, Linux- und macOS von Microsofts Videochat Teams speichert ein Token im Klartext, über das Angreifer die Microsoft-Dienste der Nutzer abgreifen können.

Microsofts Videochat Teams speichert die Zugriffstoken, mit denen sich die Nutzer in Teams bei den Microsoft-Diensten anmelden, offenbar im Klartext. Angreifer mit Zugriff auf das Dateisystem eines PCs können die Datei kopieren und sich so den Zugriff auf die Microsoft-Dienste wie Skype oder Outlook verschaffen, ohne das Passwort des Nutzers zu kennen. Eine Zweifaktor-Absicherung wird auf diesem Weg auch ausgehebelt, wie die Forscher der kalifornischen Cybersecurity-Firma Vectra herausgefunden haben.

Das unsichere Electron-Framework steckt in drei BS-Versionen

Davon betroffen sind die Windows-, Linux- und auch die macOS-Version des Programms, welche auch alle drei das Electron-Framework dafür benutzen. Eine Electron-Anwendung kann man als eine Art Webapp mit angeflanschtem Browser betrachten, und der speichert nun mal beispielsweise in Cookies abgelegte Tokens unverschlüsselt.

Abhilfe als Workaround sofort – ein Patch folgt erst später

Microsoft will laut Vectra den Fehler beheben, aber zunächst mal nur mit einem Workaround, dem dann später ein Patch folgen soll, denn Dringlichkeit sei hier nicht geboten, weil die Angreifer einen sowieso schon kompromittierten PC benötigten, um die Token abzugreifen.

Bis der Patch da ist, sollten Teams-Nutzer vor allem an PCs, die von mehreren Personen benutzt werden, ab sofort nur noch die Web-Version von Teams nutzen, denn moderne Browser sind inzwischen gegen solche Token-Übernahmen abgesichert.

Auch die iOS- und Android-Version für die Smartphones lassen sich nicht auf diese Art angreifen. Für Linux empfiehlt Vectra sogar generell den Umstieg auf die Web-Version, weil Hersteller Microsoft den Linux-Client zum Jahresende auf eine reine PWA umstellen will.

Benutzer von Teams unter Windows und macOS können dann nach erfolgtem Patch  auch wieder auf die Desktop-Version zurück wechseln.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Sicherheit, Soziales abgelegt und mit , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.