Onderzoekers: Desktopapp van Microsoft Teams slaat tokens op in plaintext

De desktopapplicatie van Microsoft Teams slaat token op in plaintext, waarschuwen beveiligingsonderzoekers van Vectra. Microsoft erkent het probleem, maar benadrukt dat aanvallers eerst toegang moeten krijgen tot het netwerk van een slachtoffer voordat zij hiervan misbruik kunnen maken.

Vectra meldt het beveiligingslek in augustus te hebben gemeld bij Microsoft. Het bedrijf spreekt van een gevaarlijk lek, aangezien met behulp van de tokens op een account kan worden ingelogd. Ook indien dit account is beveiligd met tweefactorauthentificatie.

Risico is volgens Microsoft beperkt

Microsoft erkent het probleem, maar stelt dat het risico beperkt is. In een reactie aan Bleeping Computer meldt een woordvoerder van Microsoft dat een aanvaller toegang moet verkrijgen tot het netwerk van een slachtoffer om de tokens in handen te krijgen. Het bedrijf zegt te overwegen om het lek in een toekomstige productrelease te dichten.

"De beschreven techniek voldoet niet aan onze eisen voor onmiddellijk onderhoud, omdat een aanvaller eerst toegang moet krijgen tot een doelnetwerk", zegt de woordvoerder. "We waarderen de samenwerking van Vectra Protect bij het identificeren en op verantwoorde wijze bekendmaken van dit probleem en zullen overwegen dit in een toekomstige productrelease aan te pakken."