Microsoft は 15 日、Windows 10 バージョン 21H1 (May 2021 Update) のサービス終了に関するサポートドキュメントを公開した (Microsoft Learn の記事、 Neowin の記事、 Softpedia の記事)。

21H1 は半期チャネルでリリースされた最後のバージョンであり、すべてのエディションでサービス期間は 18 か月間となる。そのため、最初のリリース (2021 年 5 月 18 日)から18か月間経過し、最初の月例更新にあたる 12 月 13 日を最後に更新プログラムの提供が終了する。この日以降 Microsoft サポートに問い合わせた顧客は、サポートを継続して受けるため最新版の Windows 10 または Windows 11 へ更新するよう案内されることになる。なお、Windows 10 バージョン 2004 以降は同じサービシングコンテンツを共有しており、最新版へのアップグレードはイネーブルメントパッケージを実行して再起動するだけでいい。これにより、無効化されている新機能が有効化される。

Microsoft Teams のデスクトップアプリが認証トークンを平文で保存していることが Vectra の調べにより判明したのだが、報告を受けた Microsoft では修正の必要な問題ではないと回答しているそうだ (Vectra のブログ記事、 Ars Technica の記事、 Dark Reading の記事、 VentureBeat の記事)。

Microsoft Teams のデスクトップアプリ (Windows / Mac / Linux) は Electron ベースのウェブアプリケーションだ。しかし、標準状態のElectronでは、通常のウェブブラウザーで利用可能なファイルをセキュアに保持する仕組みなどが利用できない。Microsoft Teams アプリでは認証トークンが特別な権限なく読み取り可能な場所に平文で保存されているため、ローカルやリモートの攻撃者は容易に認証トークンを入手できる。認証トークンは Microsoft Teams 以外の Microsoft 365 アプリケーション等への攻撃も可能にし、多要素認証もバイパス可能だ。

しかし、Microsoft では攻撃者が初めにターゲットのネットワークへのアクセスを可能にする必要があることから、至急サービスの必要な問題の要件を満たさないなどと回答したという。ただし、Dark Reading に提供した声明では将来の製品リリースでの対応を検討するとも述べているとのこと。このような回答について、Vectra の Connor Peoples 氏は Progressive Web App への移行を進める Microsoft が Electron アプリの修正に力を割きたくないのだとの見方を示す。そのため、Vectra では Microsoft Teams アプリの利用中止と、ブラウザー上での利用を推奨している。