Microsoft Teams 安全漏洞揭示

关键要点

研究人员本周二报告称，他们在今年八月识别到一个攻击通道，恶意行为者通过获取文件系统访问权限，可以窃取任何在线的 Microsoft Teams 用户的凭证。

在九月十三日的一篇 博客文章 中，Vectra Protect 团队表示，由于攻击者无需提升权限就能读取这些文件，这使得任何能够对本地或远程系统进行访问的攻击都可能利用这一漏洞。

研究者指出，该漏洞影响所有商业和政府社区云桌面团队的 Windows、Mac 和 Linux 客户端。

微软已经知晓此问题，并在八月底关闭了案例，表示该问题不符合立即服务的标准。Vectra 的研究者表示，在微软更新 Teams 桌面应用程序之前，他们不建议使用完整的 Teams 客户端，并建议客户考虑仅使用基于网页的 Teams 应用。

研究者还建议，安全团队应在 Microsoft Edge 内使用网页版 Teams 客户端，因为其具有多个操作系统级别的控制措施来保护令牌泄露。他们表示，Teams 网页应用功能完备，并支持大部分桌面客户端的功能，最大限度减少对组织生产力的影响。对于必须使用已安装桌面应用的客户，研究者强调，关注关键应用文件是否被官方 Teams 应用以外的进程访问至关重要。

在周四被问及是否情况有所改变时，Vectra 的 CTO Aaron Turner 表示，根据他所知，微软并未改变立场。

Turner 指出，在与客户的互动中，只有那些面临复杂对手如国防承包商和关键基础设施运营商的组织才在认真考虑在终端上删除 Teamsexe 应用，并强制用户通过受管理的浏览器进行 Teams 协作。他表示，大多数他所接触的组织计划实施一个终端检测和响应监控政策，以关注任何系统进程对存储令牌文件的未经授权访问的情况。

“随着每月用户数达数亿，Microsoft Teams 已成为当今远程工作新现实的重要组成部分。”Turner 说。 “由于其市场份额以及该平台在商业、非营利以及政府合作中的角色，攻击者将聚焦整个 Teams 生态系统，寻找妥协身份和获取未经授权访问 Teams 共享数据的方法。”

Turner 补充说，Vectra 的 Connor Peoples 主导的工作发现了这一漏洞，并与微软协调共享发现，是 Vectra 努力使 Microsoft 365 生态系统对任何组织的沟通与协作更加安全和公正的一部分。他表示，如研究中所述，微软可以进行一些改进，以加强 Windows 和 MacOS 的 Electron 应用程序。这些改进也应有助于防止未来的安全漏洞，比如最近披露的与 XSS 攻击 以及利用 GIF 进行命令和控制活动 的问题。

“我们呼应其他安全研究人员的建议，直到 Teams Electron 应用程序有显著改善之前，使用受管理的浏览器访问 Microsoft Teams 更为安全。”Turner 说。

Synopsys 软件完整性组的首席科学家 Sammy Migues 表示，像所有应用程序框架一样，Electron 在身份验证、安全文件存储和通信方面存在一些特有的特性。Migues 指出，开发团队使用框架是因为它使他们的工作更轻松、更快捷。另一方面，就算是安全意识较强的团队，可能也不完全理解他们使用