De acordo com analistas da empresa de segurança cibernética Vectra, existe uma enorme vulnerabilidade no Microsoft Teams e inúmeros usuários podem ser potencialmente afetados se hackers colocarem as mãos nele.
O programa possui uma falha que permite que invasores roubem as credenciais de login dos usuários e façam login em suas contas. Infelizmente, a Microsoft não está planejando corrigir isso agora, então continue lendo para ter certeza de que você está protegido contra esse inesperado Problema do Microsoft Teams.
Essa falha, descoberta pela primeira vez em agosto de 2022, é bastante grave, mas também não é muito fácil de executar. Aplica-se às versões desktop do Equipes da Microsoft software (portanto, não a versão do navegador) e afeta usuários de Windows, Linux e Mac.
Relacionado
- Os problemas mais comuns do Microsoft Teams e como corrigi-los
- O Microsoft Teams está recebendo novas ferramentas de IA – e elas são gratuitas
- Hackers chineses visando infraestrutura crítica dos EUA, alerta Microsoft
Tudo se resume à forma como o Teams armazena tokens de autenticação do usuário – em texto não criptografado, sem qualquer proteção extra. Isso seria desastroso se não dependesse de um fator-chave: um invasor precisa ter acesso local ao sistema onde o Microsoft Teams está instalado.
Vídeos recomendados
Supondo que um invasor tenha acesso local à rede, ele poderá roubar os tokens de autenticação e fazer login na conta da vítima.
Connor Peoples, pesquisador da Vectra, disse que a ameaça é mais profunda do que apenas uma conta comprometida; permite que o invasor sequestre contas que possam interromper as operações de uma organização inteira.
“[Assumindo] o controle de cargos críticos – como o chefe de engenharia, CEO ou CFO de uma empresa – os invasores podem convencer os usuários a realizar tarefas prejudiciais à organização”, disse Peoples no relatório.
Como tudo isso funciona? Computador bipando explicou com mais detalhes, mas o resumo é que o Microsoft Teams é um aplicativo Electron e vem com todos os elementos exigidos por qualquer página da web normal, como cookies e strings de sessão. Electron não oferece suporte à criptografia de arquivos ou ao estabelecimento de locais protegidos, e é por isso que as credenciais do usuário não estão sendo protegidas como deveriam.
Durante sua pesquisa, a Vectra encontrou um arquivo com acesso a tokens de usuários em texto não criptografado. “Após análise, foi determinado que esses tokens de acesso estavam ativos e não um despejo acidental de um erro anterior. Esses tokens de acesso nos deram acesso às APIs do Outlook e do Skype”, afirmou o relatório da empresa.
Ainda mais dados foram encontrados após pesquisas adicionais, incluindo tokens de autenticação válidos e informações de conta. A Vectra também encontrou uma forma de explorar o aplicativo e conseguiu receber os tokens em sua própria janela de chat.
É preocupante que esta vulnerabilidade esteja disponível atualmente, mas a Microsoft não a considera uma ameaça grande o suficiente para trabalhar em sua correção como uma prioridade. Um porta-voz da Microsoft disse ao Bleeping Computer: “A técnica descrita não atende aos nossos padrões de manutenção imediata, pois exige que um invasor primeiro obtenha acesso a uma rede alvo. Agradecemos a parceria da Vectra Protect na identificação e divulgação responsável deste problema e consideraremos abordá-lo num lançamento futuro do produto.”
Enquanto isso, se você estiver preocupado com a segurança de sua conta do Teams, uma boa ideia é mudar para a versão do Teams para navegador em vez do cliente de desktop. Os usuários do Linux, no entanto, são aconselhados a simplesmente mudar para um aplicativo diferente – especialmente porque a Microsoft está planejando parar de oferecer suporte à versão Linux do Teams até o final deste ano.
Recomendações dos Editores
- Como seu chefe pode espionar você com Slack, Zoom e Teams
- Como deletar uma página no Word
- Esta exploração crítica pode permitir que hackers contornem as defesas do seu Mac
- Agora você pode experimentar avatares e espaços virtuais no Microsoft Teams
- Microsoft Build 2023: os maiores anúncios em IA, Windows e muito mais
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
