Sebuah kerentanan Microsoft Teams yang mempengaruhi semua pengguna layanan yang menggunakan aplikasi di Windows, Mac atau Linux.
Microsoft Teams adalah platform paket terintegrasi Microsoft 365. Layanan ini digunakan secara global oleh hampir 300 juta pengguna untuk konferensi video, panggilan suara, pesan teks, dan penyimpanan/berbagi file. Ini seharusnya digunakan terutama untuk bisnis dan kantor Microsoft Teams untuk Windows, Linux si Mac itu harus memiliki standar keamanan yang relevan dengan zaman sekarang. Namun, tampaknya enkripsi Microsoft tidak terlalu penting.
Pada bulan Agustus (2022), tim analis keamanan menemukan kerentanan Microsoft Teams yang ternyata tidak rumit untuk dipecahkan oleh Microsoft hingga detik ini.
kerentanan Microsoft Teams – Token otentikasi tidak terenkripsi
Masalah keamanan yang ditemukan terdiri dari penyimpanan token otentikasi yang tidak terenkripsi dalam aplikasi Microsoft Teams untuk Windows, Mac si Linux. Lebih tepatnya user authentication tokens disimpan di cleartext.
Ini berarti bahwa jika penyerang memiliki akses ke komputer tempat ia diinstal Microsoft Teams, dia akan dapat mengambil kredensial otentikasi dari aplikasi dan terhubung ke akun korban. Selain itu, penyerang mengamankan akses ke Microsoft Graph API bahkan jika akun tersebut dilindungi dengan MFA (Multi-factor authentication). Tidak diperlukan malware tingkat lanjut atau izin khusus untuk mengakses file yang berisi token autentikasi.
Kerentanan ini (jika saya dapat menyebutnya demikian) dapat mempengaruhi banyak perusahaan di seluruh dunia. Pada Microsoft Teams ada percakapan bisnis, pertemuan dalam organisasi, sesi kerja tim, wawancara kerja diadakan dan data rahasia dikirim.
Bagian yang paling mengkhawatirkan adalah masalah ini dilaporkan oleh Masyarakat Connor (analis keamanan siber) sejak Agustus 2022, dan hingga sekarang (setengah September 2022) Microsoft belum mengambil tindakan apa pun.
Sampai Microsoft memecahkan kerentanan ini Microsoft Teams, pengguna dapat melindungi diri mereka sendiri menggunakan aplikasi versi web.
Pada tahun 2022, menyimpan data sensitif dalam teks yang jelas, bahkan lebih banyak token otentikasi, bagi saya tampaknya Microsoft menggunakan teknik tahun 90-an ketika Yahoo! Messenger rekatkan percakapan lokal dalam format teks. Microsoft hadir dengan sesuatu yang ekstra. Simpan data otentikasi.
