Zugriffstoken, die von Nutzern in Microsoft Teams zur Anmeldung bei Microsoft-Diensten verwendet werden, werden im Klartext gespeichert. Die entsprechende Datei könne von Angreifern mit Zugriff auf das Dateisystem abgegriffen werden, um Zugriff auf Microsoft-Dienste wie Skype und Outlook der Nutzer zu erhalten. Die Absicherung per Passwort und Zweifaktor-Authentifizierung werde so umgangen.

Von dem Problem, welches von Forschern der kalifornischen Cybersecurity-Firma Vectra entdeckt wurde, seien die Windows-, Linux- und macOS-Versionen von Teams betroffen. Laut Vectra wolle Microsoft den Fehler beheben - da Angreifer jedoch einen bereits kompromittierten PC benötigen, sei keine Dringlichkeit geboten.

Insbesondere Teams-Nutzern, die an gemeinschaftlich verwendeten PCs arbeiten, wird empfohlen, vorerst die Web-Version von Teams zu nutzen. Während die Electron-Anwendung von Teams in Cookies abgelegte Tokens unverschlüsselt speichere, seien moderne Browser gegen solche Token-Übernahmen abgesichert.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE