По данным компании Vectra, приложение Microsoft Teams хранит токены аутентификации в виде незашифрованного текста. Это даёт злоумышленникам шанс получить контроль над общением внутри организаций. Уязвимость затрагивает приложения на Windows, Mac и Linux, созданные посредством платформы Microsoft Electron. Microsoft знает о проблеме, но не планирует исправлять её в ближайшее время.

Хакер с локальным или удалённым доступом к системе способен украсть учётные данные находящихся в этот момент онлайн пользователей Teams и выдавать себя за этих пользователей. Ещё они могут притворяться пользователем через связанные с Teams приложения, такие как Skype или Outlook, обходя многофакторную аутентификацию (MFA).

«Это позволяет злоумышленникам менять файлы SharePoint, почту и календари Outlook, файлы чата Teams», — пишет архитектор безопасности в Vectra Коннор Пиплс. «Ещё хуже то, что злоумышленники могут вмешиваться в общение внутри организаций, выборочно уничтожая, извлекая данные или участвуя в целенаправленных фишинговых атаках».

Vectra создала тестовый эксплоит, позволивший отправить сообщение с помощью токена доступа. Проблема затрагивает главным образом приложения на ПК, поскольку платформа Electron (создающая порты веб-приложений) не имеет «дополнительных элементов управления безопасностью для защиты данных куки», в отличие от современных браузеров. Vectra рекомендует не пользоваться этими приложениями, пока не выпустят патч. До тех пор можно применять веб-приложение.

Microsoft заявила, что рассмотрит возможность устранения этой уязвимости в будущей версии продукта. Специлизирующийся на поиске информационных угроз Джон Бамбенек отметил, что Microsoft движется в сторону прогрессивных веб-приложений, которые «устранят многие из проблем, причиной которых является Electron», пишет Engadget.