Schwerwiegende Sicherheitslücke in Microsoft Teams entdeckt
Dieser Artikel ist älter als ein Jahr!
Sicherheitsforscher*innen haben eine Sicherheitslücke in der Desktop-Version der beliebten Kommunikationssoftware Microsoft Teams gefunden. Wie Bleeping Computer berichtet, sind Windows-, Linux- und Mac-Systeme betroffen. Gefährdet sind Accounts, die sich über Authentifizierungstokens oder via Multifaktorauthentifizierung einloggen.
Die Anmeldedaten würden einfach ungesichert lesbar in einer Datenbank gespeichert, so die Forscher*innen. Würden sich Angreifer*innen lokalen Zugang zum Netzwerk verschaffen, könnten die Anmeldedaten gestohlen werden. Dafür seien weder theoretisch besondere Schadsoftware noch Berechtigungen notwendig.
Potenzieller Schaden für Firmen
Die Daten sind in einem "Cookies"-Ordner hinterlegt. Hier konnten die Forscher*innen einfach aktive Authentifizierungstokens und Nutzer*innendaten auslesen und als Textnachrichten über Teams an sich selbst verschicken.
Mithilfe von Schadsoftware, könnten Angreifer*innen so Login-Informationen stehlen und sich dann aus der Ferne mit den Daten anmelden. Mit den Zugriffstokens könnten sie auch die Multifaktorauthentifizierung umgehen.
"Wurden genug Systeme kompromittiert, könnten Angreifer*innen die Kommunikation innerhalb einer Firma orchestrieren", schreibt die Sicherheitsfirma Vectra in einem Blogeintrag. Sie könnten sich als CEO oder CFO ausgeben und Unternehmen so z.B. durch Phishing schaden.
Browser-Version nutzen
Vectra hat Microsoft bereits im August über die Sicherheitslücke informiert. Allerdings hat der Konzern sie als nicht schwerwiegend genug eingestuft, um sofort einen Patch zu veröffentlichen. Sie erfülle nicht die Kriterien, da Angreifer*innen sich erst Zugang zum lokalen Netzwerk verschaffen müssten.
Es werde aber nicht ausgeschlossen, dass ein Patch dafür kommt, teilte Microsoft Bleeping Computer mit. Vectra empfiehlt Nutzer*innen bis dahin, Microsoft Teams nur noch über den Browser zu nutzen. Das funktioniert mit Microsoft Edge. Hier gebe es zusätzlichen Schutz der Daten. Linux-User*innen sollen auf andere Software ausweichen, bis das Problem behoben ist, empfiehlt die Firma.
Kommentare