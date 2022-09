オンラインビデオ会議ツール「 Microsoft Teams 」のデスクトップアプリで、認証トークンや多要素認証(MFA)をオンにしたユーザーアカウントに攻撃者がアクセスできる深刻なセキュリティ脆弱(ぜいじゃく)性があることが分かりました。 Undermining Microsoft Teams Security by Mining Tokens https://www.vectra.ai/blogpost/undermining-microsoft-teams-security-by-mining-tokens Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs https://www.bleepingcomputer.com/news/security/microsoft-teams-stores-auth-tokens-as-cleartext-in-windows-linux-macs/ セキュリティ企業の Vectra によると、今回発見されたセキュリティ上の問題は、Microsoft Teamsがユーザー認証トークンを平文で保存してアクセスを保護していないことが原因でした。 Microsoft Teamsはソフトウェアフレームワーク「 Electron 」ベースのアプリで、通常のウェブページが必要とするCookieやセッションID、ログなどを完備したブラウザウィンドウで実行されるアプリです。 Electronのソフトウェアのフレームワークは汎用的で使いやすいものの、暗号化や保護されたファイルロケーションをデフォルトでサポートしていないため、致命的欠陥が許されない製品を開発するにあたって十分な安全性を確保するためには、大規模なカスタマイズや追加作業が必要になると考えられています。

・関連記事

Microsoft Teamsの「強制終了」や「詐欺サイト誘導」が可能な脆弱性が9カ月以上放置されている - GIGAZINE



グループチャットツールのMicrosoft Teamsに「GIF画像を見るだけでアカウントを乗っ取られる脆弱性」が発見される - GIGAZINE



ZoomやMicrosoft Teamsなどビデオ会議ツールの安全性をまとめたレポートをNSAが発表 - GIGAZINE



ステルス性の高い新たなLinuxマルウェア「シキテガ」についてサイバーセキュリティ会社が解説 - GIGAZINE



MicrosoftがChromeOSで発見した重大な脆弱性とは? - GIGAZINE



WindowsとAdobe Readerのゼロデイ脆弱性を利用した攻撃をオーストリアの民間企業が仕掛けていたと判明 - GIGAZINE

2022年09月15日 15時00分00秒 in ソフトウェア, セキュリティ, Posted by log1p_kr

You can read the machine translated English article here.