Sicherheitslücke in Teams: Microsoft-Token im Klartext gespeichert

Die Windows-, Linux- und macOS-Version von Teams speichert Token im Klartext, mit dem Angreifer die Microsoft-Dienste der Nutzer abgreifen können.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 110 Beiträge
Team-Plattform Microsoft «Teams»

(Bild: wichayada suwanachun / Shutterstock.com)

Von
  • Jörg Wirtgen

Microsoft Teams speichert die Zugriffstoken im Klartext, mit denen sich die Nutzer in Teams bei den Microsoft-Diensten anmelden. Angreifer mit Zugriff aufs Dateisystem des PCs können die Datei klauen und Zugriff auf die Microsoft-Dienste wie Skype und Outlook ergaunern, ohne das Passwort des Nutzers zu kennen; auch eine Zweifaktor-Absicherung wird so übergangen. Das haben die Forscher der kalifornischen Cybersecurity-Firma Vectra herausgefunden.

Betroffen sind die Windows-, Linux- und macOS-Versionen von Teams, die alle drei das Electron-Framework nutzen. Eine Electron-Anwendung ist eine Art Webapp mit angeflanschtem Browser – und der speichert beispielsweise in Cookies abgelegte Tokens unverschlüsselt.

Microsoft will laut Vectra den Fehler beheben, aber erst mit einem späteren Patch: Dringlichkeit sei nicht geboten, weil Angreifer einen ohnehin kompromittierten PC benötigen würden, um an die Token zu kommen.

So lange sollten Teams-Nutzer vor allem an PCs, die von mehreren Personen benutzt werden, nur noch die Web-Version von Teams nutzen – moderne Browser sind gegen solche Token-Übernahmen abgesichert. Auch die iOS- und Android-Version sind nicht auf diese Art angreifbar. Für Linux empfiehlt Vectra generell den Umstieg auf die Web-Version, da Microsoft den Linux-Client zum Jahresende auf eine reine PWA umstellen möchte. Windows- und macOS-Nutzer können nach dem Patch wieder auf die Desktop-Version wechseln, zumindest auf Rechnern, wo sie oder Admins die Kontrolle über die installierte Version haben.

Erst vor einigen Tagen wurde eine Schwachstelle in Teams bekannt, mit der Angreifer die Firmen um Telefoniegebühren betrügen konnte.

(jow)