bir güvenlik açığı Microsoft Teams üzerinde uygulamayı kullanan hizmetin tüm kullanıcılarını etkileyen Windows, Mac veya Linux.
Microsoft Teams entegre bir paket platformudur Microsoft 365. Hizmet, dünya çapında yaklaşık 300 milyon kullanıcı tarafından görüntülü konferans, sesli aramalar, kısa mesajlar ve depolanan/dosya paylaşımı için kullanılıyor. Özellikle iş ve ofis için kullanılması gerekiyor. Microsoft Teams için Windows, Linux si Mac günümüzle ilgili bir güvenlik standardına sahip olmalıdır. Ancak, Microsoft için şifrelemenin çok az önemi var gibi görünüyor.
Ağustos'ta (2022), bir güvenlik analist ekibi bir güvenlik açığı Microsoft Teams görünüşe göre Microsoft'un bu ana kadar çözmek için karmaşık olmadığı.
Güvenlik açığı Microsoft Teams – Şifrelenmemiş kimlik doğrulama belirteci
Keşfedilen güvenlik sorunu, uygulamada kimlik doğrulama belirteçlerinin şifrelenmemiş olarak depolanmasından oluşur. Microsoft Teams için Windows, Mac si Linux. daha doğrusu user authentication tokens içinde tutulur cleartext.
Bu, bir saldırganın yüklü olduğu bir bilgisayara erişimi varsa Microsoft Teams, uygulamadan kimlik doğrulama bilgilerini alabilecek ve kurbanın hesabına bağlanabilecektir. Ayrıca, saldırgan erişim güvenliğini sağlar. Microsoft Graph API hesap ile korunsa bile MFA (Multi-factor authentication). Kimlik doğrulama belirteçleri içeren dosyalara erişmek için gelişmiş kötü amaçlı yazılımlara veya özel izinlere gerek yoktur.
Bu güvenlik açığı (eğer buna diyebilirsem) dünyadaki birçok şirketi etkileyebilir. Açık Microsoft Teams iş görüşmeleri, kurum içi toplantılar, ekip çalışması oturumları, iş görüşmeleri yapılır ve gizli veriler gönderilir.
En endişe verici kısım, bu sorunun tarafından bildirilmiş olmasıdır. Connor Halkları (siber güvenlik analisti) Ağustos 2022'den bu yana ve şimdiye kadar (Eylül 2022'nin yarısı) Microsoft herhangi bir işlem yapmadı.
Microsoft bu güvenlik açığını çözene kadar Microsoft Teams, kullanıcılar uygulamanın web sürümünü kullanarak kendilerini koruyabilirler.
2022'de hassas verileri açık metinde, hatta daha fazla kimlik doğrulama belirtecinde tutmak, bana öyle geliyor ki Microsoft, 90'ların tekniklerini kullanırken Yahoo! Messenger yerel konuşmaları metin biçiminde yapıştırın. Microsoft ekstra bir şeyle birlikte gelir. Kimlik doğrulama verilerini saklayın.
