ຜູ້ຊ່ຽວຊານກວດພົບ Microsoft Teams ເກັບ Authentication Token ແບບບໍ່ເຂົ້າລະຫັດ
ຜູ້ຊ່ຽວຊານຈາກ Vectra AI ໄດ້ຄົ້ນພົບຈຸດອ່ອນນີ້ໂດຍບັງເອີນໃນລະຫວ່າງການຫາວິທີລົບ Disable Account ອອກຈາກ Client App ໂດຍພົບເຫັນວ່າໃນຟາຍ ldb ມີການເກັບ Access Token ເປັນແບບ Cleartext ແລະ ບໍ່ມີການເຂົ້າລະຫັດໃດໆ ໂດຍ Access Token ນີ້ສາມາດນຳໄປໃຊ້ໃນການເຂົ້າເຖິງ Outlook ແລະ Skype API ໄດ້ ນອກຈາກນີ້ຍັງພົບວ່າ ມີການເກັບຖານຂໍ້ມູນ Cookies ທີ່ມີຂໍ້ມູນ Access Token ເອົາໄວ້ເຊັ່ນດຽວກັນ ຊຶ່ງສາມາດໃຊ້ Sqlite 3 database client ເປີດອ່ານໄດ້ ໂດຍມີການທົດລອງນຳ Access Token ທີ່ໄດ້ມາ ໃຊ້ສົ່ງຂໍ້ຄວາມຫາຕົວເອງຜ່ານທາງ Skype API ກໍສາມາດສົ່ງຂໍ້ຄວາມໄດ້ສຳເລັດ ຊ່ອງໂຫວ່ນີ້ພົບໃນ Microsoft Teams Client ເວີຊັນ Desktop ເທິງ Windows, Linux ແລະ Mac ທີ່ຖືກພັດທະນາດ້ວຍ Electron app.
Vectra ໄດ້ລາຍງານໄປຫາ Microsoft ຕັ້ງແຕ່ເດືອນສິງຫາທີ່ຜ່ານມາ ແຕ່ປະຈຸບັນ Microsoft ຍັງບໍ່ໄດ້ອອກຕົວແກ້ໄຂ ເພື່ອປິດຈຸດອ່ອນດັ່ງກ່າວແຕ່ຢ່າງໃດ ຊຶ່ງສ້າງຄວາມກັງວົນວ່າ ອາດເປັນຊ່ອງທາງໃຫ້ຜູ້ບໍ່ຫວັງດີໃຊ້ວິທີການສ້າງ Phishing Campaign ຫລື ມັນແວຂຶ້ນມາ ເພື່ອລັກເອົາ Access Token ນີ້ ເພື່ອນຳໄປສ້າງຄວາມເສຍຫາຍອື່ນໆໄດ້ Vectra ໄດ້ແນະນຳໃຫ້ຫັນໄປໃຊ້ງານ Microsoft Teams ເວີຊັນເວັບຊົ່ວຄາວໃນລະຫວ່າງທີ່ລໍຖ້າການແກ້ໄຂຈາກ Microsoft ສ່ວນຜູ້ເບິ່ງແຍງລະບົບ ຄວນເພີ່ມການກວດສອບການເຂົ້າເຖິງລາຍການຟາຍ ດັ່ງລຸ່ມນີ້ໃນເຄື່ອງຜູ້ໃຊ້ງານ ວ່າມີການເຂົ້າເຖິງຈາກແອັບພິເຄຊັນອື່ນ ທີ່ບໍ່ແມ່ນ Microsoft Teams Client ຫລື ບໍ່:
- [Windows] %AppData%\Microsoft\Teams\Cookies
- [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
- [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
- [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
- [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
- [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb
ເອກະສານອ້າງອີງ:
ລາຍການຮູບ
