Microsoft Teams plaintext inloggegevens

Gebruikers van de Microsoft Teams-app voor de desktop lopen het gevaar dat de inloggegevens van hun accounts uitlekken. Microsoft slaat deze gegevens zonder beveiliging op.

Advertentie

Beveiligingsonderzoekers van Vectra ontdekte dat Microsoft Teams tokens voor het inloggen opslaat in plaintext, zogenoemde authenticatie-tokens. Kwaadwillenden die toegang krijgen tot deze tokens kunnen hiermee inloggen in het account van de slachtoffers. De onderzoekers stuitte in augustus op het beveiligingsrisico en hebben dit vervolgens bij Microsoft gemeld. Markant is dat het bedrijf de vondst erkent, maar tegelijkertijd meldt het beveiligingslek niet met spoed op te lossen. De softwaregigant zegt te overwegen een oplossing te introduceren in een volgende Teams-versie.

Toegang tot netwerk gebruiker

Vectra spreekt de bewering van Microsoft tegen en vindt dat het lek snel gedicht moet worden. Als voorbeeld noemen de onderzoekers het uitlekken van de tokens van hooggeplaatste medewerkers. Na het uitlekken kunnen kwaadwillenden, zonder daarvoor 2FA-tokens nodig te hebben inloggen in de Microsoft-accounts van die medewerkers en bedrijfsgevoelige data ophalen. Om de tokens op te halen hoeven kwaadwillenden enkel toegang te hebben tot de computers van de gebruikers. Hierop is het bestand met de plaintext-tokens te vinden.

De softwaregigant noemt dat als reden om het beveiligingslek een lage prioriteit mee te geven. Voor toegang tot de plaintext tokens moeten kwaadwillenden immers al zijn doorgedrongen tot de lokale netwerken of de computer van de gebruiker. In principe hebben kwaadwillenden vanaf dat moment toegang tot alle gebruikersdata op die computers. Gezien je niet zomaar toegang kan verkrijgen tot het netwerk van anderen, heeft Microsoft de ernst van het datalek afgeschaald, zegt het tegenover Bleeping Computer.

Tot Microsoft een oplossing voor de desktopapplicatie van Teams uitbrengt, raadt Vectra gebruikers aan over te stappen op de browserversie van de gespreksdienst. Deze versie zou veel beter in staat zijn de tokens van gebruikers te beschermen. Specifiek raadt het aan de webvariant te gebruiken in de Edge-browser.