L’app di messaggistica orientata al lavoro Microsoft Teams ha attraversato una serie di controversie che non ti aspetteresti di affrontare con altre app di chat, incluso l’anno scorso quando la versione Android è stata considerata responsabile della rottura della capacità di effettuare chiamate di emergenza. Bene, l’app Teams, almeno questa volta non quella per Android, è di nuovo nelle notizie e non per le giuste ragioni.
La società di ricerca sulla sicurezza informatica con sede in California, Vectra, ha scoperto un difetto potenzialmente grave nella versione desktop del servizio in cui i token di autenticazione sono archiviati in chiaro (senza crittografia), rendendoli vulnerabili a un attacco di terze parti. Il problema riguarda l’app Teams basata sul framework Electron dell’azienda, che funziona su computer Windows, macOS e Linux.
Vectra afferma che queste credenziali potrebbero teoricamente essere rubate da un utente malintenzionato che ha accesso al sistema locale o anche da remoto. Microsoft è a conoscenza di questa vulnerabilità, anche se la società non sembra avere fretta di risolverla. Vectra spiega che un hacker con l’accesso necessario potrebbe rubare dati da un utente Teams online e potenzialmente imitarli quando è offline. Questa identità potrebbe quindi essere utilizzata in app come Outlook o Skype eludendo i requisiti di autenticazione a più fattori (MFA).
Vectra consiglia agli utenti di stare lontano dall’app desktop di Microsoft Teams fino a quando non sarà disponibile una soluzione o, in alternativa, utilizzare la Web App che dispone di ulteriori misure di sicurezza. “Ancora più dannoso, gli aggressori possono manomettere le comunicazioni legittime all’interno di un’organizzazione distruggendo selettivamente, esfiltrando o partecipando ad attacchi di phishing mirati“, ha affermato Connor Peoples, architetto della sicurezza di Vectra.
Il ricercatore osserva che questa particolare vulnerabilità esiste solo nella versione desktop di Teams a causa della mancanza di “controlli di sicurezza aggiuntivi per proteggere i dati dei cookie“. Per far capire a Microsoft, Vectra ha persino sviluppato un proof of concept che descrive in dettaglio l’exploit, consentendo ai ricercatori di inviare un messaggio all’account dell’individuo il cui token di accesso è stato compromesso.
Sebbene la piattaforma Electron semplifichi la creazione di app per desktop, non include misure di sicurezza cruciali e standard come la crittografia o le posizioni dei file protette dal sistema. I ricercatori di sicurezza hanno costantemente criticato questo framework, anche se Microsoft non lo considera ancora un problema serio.
