Actualizado 16/09/2022 17:27

Microsoft Teams almacena los tokens de autenticación en 'cleartext' en el cliente de escritorio

Servicio de videoconferencia Teams
Servicio de videoconferencia Teams - MICROSOFT

   MADRID, 16 Sep. (Portaltic/EP) -

   La aplicación para ordenador de Microsoft Teams almacena los tokens de autenticación en texto claro ('cleartext'), una vulnerabilidad que daría a un potencial atacante acceso no solo acceso a una cuenta de este servicio de videoconferencias, sino también al resto de aplicaciones asociadas.

   La vulnerabilidad allana el camino a un atacante para acceder a las credenciales de acceso de los usuarios de Teams que han iniciado sesión, como señalan desde Vectra, la empresa de ciberseguridad que detectó este problema en agosto.

   En concreto, se ha detectado en el cliente para ordenador de Teams, para los sistemas Windows, Mac y Linux. Los tokens de autenticación se almacenan en texto claro, es decir, texto que no ha sido encriptado y su lectura no requiere elevación de permisos ni 'malware' avanzado.

   "Cualquiera que instale y use el cliente de Microsoft Teams en este estado almacena las credenciales necesarias para realizar cualquier acción posible a través de la interfaz de usuario de Teams, incluso cuando Teams está apagado", señalan en el blog oficial de Vectra.

   Un atacante que haya obtenido las credenciales puede, además de suplantar la identidad del usuario durante una reunión 'online', modificar archivos en aplicaciones como SharePoint, correo y calendarios de Outlook y archivos de chat de Teams. También podría actuar contra cuentas que tengan activada la autenticación multifactor.

   Desde Microsoft han confirmado a esta empresa que aunque son conscientes del problema, su resolución no es urgente. Por el contrario, desde Vectra recomiendan evitar el cliente de escritorio y optar por la versión web, de la que dicen que es "más robusta".

Contador

Más información

Más leídasofrecido por

Logotipo de Cellnex
  1. 1

    Microsoft identifica dos vulnerabilidades de día cero: la primera activa la segunda y están siendo explotadas

  2. 2

    Twitter comparte su primer 'tuit' editado

  3. 3

    La nueva IA de Meta genera vídeos cortos de alta calidad a partir de descripciones de texto

  4. 4

    Así es Circular, el modelo de suscripción de móviles y tablets Nokia que ayuda a reducir los residuos electrónicos

  5. 5

    Twitter expande los vídeos con la nueva vista inmersiva