【騎劫危機】桌面版Microsoft Team漏洞 帳戶登入Token明文儲存
Windows、Mac 及 Linux 版 Microsoft Team App 被發現存在安全漏洞,一旦電腦被黑客入侵,又或接觸到電腦的人都可盜取相關帳戶登入資料,甚至繞過多重因素驗證 (MFA)登入受害者的 Microsoft Team 帳戶,如受害者是公司高層,黑客便可欺騙其下屬執行轉帳金錢指示,損失難以估計。
意外發現這個 Microsoft Team 漏洞的是網絡安全機構 VECTRA 的安全專家,專家在報告中指出,由於收到客戶投訴,指無法在桌面電腦版 Microsoft Team 內刪除已登出帳戶的用家資料,因此專家便嘗試替客戶找尋解決方式,並在過程中發現,只要有用家曾使用上述 App,Microsoft Team 帳戶的驗證 Token 便會以明文形式儲存在電腦內。
專家解釋,桌上版 Microsoft Team 實際上是一個 Electron App,它可將 JavaScript、HTML 或 CSS 等網頁技術轉換為桌面應用程式框架,例如將 Chromium 開源專案包入其中,讓網頁能在內運行。不過,Electron 以方便使用為優先,因此並不支援加密或檔案保護等安全應用,導致 Microsoft Team 的登入帳戶資料及驗證 Token 以明文形式儲存下來,只要有心人在目標人物的電腦前,又或電腦已被黑客遙距控制,便可於電腦內找到這些資料,進而登入受害者的 Microsoft Team 帳戶。VECTRA 專家更製作出一個可使用的威脅示範,透過濫用 API 呼叫而成功將訊息經受害者帳戶發出,絕非無中生有的舉報。
VECTRA 方面已將問題的相關詳情提交 Microsoft,不過,對方回覆指由於攻擊者必須先取得電腦的控制權或建立控制通道,因此不符合公司提供即時改正服務的標準,換言之將不會在短期內修補問題。專家建議用家暫時不要使用桌面版 Microsoft Team App,而應於 Microsoft Edge 瀏覽器內使用 Team 網上版本,利用對方的瀏覽器保護技術守住帳戶登竹資料及登入 Token。
相關文章:【AI聲演】FBI安全警報 網絡罪犯假扮上司參與視像會議呃錢
