Microsoft Teams のデスクトップアプリが認証トークンを平文で保存する問題、修正予定なし 49
ストーリー by headless
放置 部門より
放置 部門より
Microsoft Teams のデスクトップアプリが認証トークンを平文で保存していることが Vectra の調べにより判明したのだが、報告を受けた Microsoft では修正の必要な問題ではないと回答しているそうだ
(Vectra のブログ記事、
Ars Technica の記事、
Dark Reading の記事、
VentureBeat の記事)。
Microsoft Teams のデスクトップアプリ (Windows / Mac / Linux) は Electron ベースのウェブアプリケーションだ。しかし、標準状態のElectronでは、通常のウェブブラウザーで利用可能なファイルをセキュアに保持する仕組みなどが利用できない。Microsoft Teams アプリでは認証トークンが特別な権限なく読み取り可能な場所に平文で保存されているため、ローカルやリモートの攻撃者は容易に認証トークンを入手できる。認証トークンは Microsoft Teams 以外の Microsoft 365 アプリケーション等への攻撃も可能にし、多要素認証もバイパス可能だ。
しかし、Microsoft では攻撃者が初めにターゲットのネットワークへのアクセスを可能にする必要があることから、至急サービスの必要な問題の要件を満たさないなどと回答したという。ただし、Dark Reading に提供した声明では将来の製品リリースでの対応を検討するとも述べているとのこと。このような回答について、Vectra の Connor Peoples 氏は Progressive Web App への移行を進める Microsoft が Electron アプリの修正に力を割きたくないのだとの見方を示す。そのため、Vectra では Microsoft Teams アプリの利用中止と、ブラウザー上での利用を推奨している。
Microsoft Teams のデスクトップアプリ (Windows / Mac / Linux) は Electron ベースのウェブアプリケーションだ。しかし、標準状態のElectronでは、通常のウェブブラウザーで利用可能なファイルをセキュアに保持する仕組みなどが利用できない。Microsoft Teams アプリでは認証トークンが特別な権限なく読み取り可能な場所に平文で保存されているため、ローカルやリモートの攻撃者は容易に認証トークンを入手できる。認証トークンは Microsoft Teams 以外の Microsoft 365 アプリケーション等への攻撃も可能にし、多要素認証もバイパス可能だ。
しかし、Microsoft では攻撃者が初めにターゲットのネットワークへのアクセスを可能にする必要があることから、至急サービスの必要な問題の要件を満たさないなどと回答したという。ただし、Dark Reading に提供した声明では将来の製品リリースでの対応を検討するとも述べているとのこと。このような回答について、Vectra の Connor Peoples 氏は Progressive Web App への移行を進める Microsoft が Electron アプリの修正に力を割きたくないのだとの見方を示す。そのため、Vectra では Microsoft Teams アプリの利用中止と、ブラウザー上での利用を推奨している。
おじいちゃんがまた変な仕様で事故ってます。 (スコア:1)
GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的
https://news.mynavi.jp/techplus/article/20220914-2453757/ [mynavi.jp]
またなのかい?
Re:おじいちゃんがまた変な仕様で事故ってます。 (スコア:1)
> 実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。
何これ。ユーザーが実行ファイルをインストールした時点で攻撃完成してるじゃん
Re: (スコア:0)
やられた際にネットワーク監視で検知するのが困難になる可能性の指摘なので、ある程度アナウンスの意味はある。
Re: (スコア:0)
「Stager」って有名なアプリなの?ウイルスの類なの?
検索しても情報がでてこない。
Re: (スコア:0)
機能で分類したときの名前。
攻撃用のプログラムを読み込む為の小さいプログラムの事。
sophosの解説 [sophos.com]
Re: (スコア:0)
今攻撃対象になってるだけで、Teamsに限らんから気を付けて。
Re: (スコア:0)
「実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。」
Teams云々以前の話じゃん。結局はメールなりSNSなり経由で実行ファイルを実行・インストールさせるんだから
Re: (スコア:0)
会社などの組織でフィルタリングし難いという点は有るかなぁ。
Microsoft Teamsって (スコア:1)
まるで、4〜5人で作っていて手が回らなくんて直せない。
って感じですね。
Windowsで作ったZIPを開くとファイル名が文字化けするし
直る気配はないし・・・
テキスト編集がバグだらけ、リンクおかしかったり、カーソル動かなかったり
Windowsが原因で不安定なのかteamsの欠陥なのかわらんけど
あまりいい出来ではないね。
Re: Microsoft Teamsって (スコア:1)
Microsoft Team1「他のTeamが直すだろ」
Microsoft Team2「他のTeamが直すべ」
Microsoft Team3「他のTeamが直すろう」
…
Re: Microsoft Teamsって (スコア:1)
よくは知らんけど、Skypeを合併し、Classroomを合併し、Yammerも合併するんだっけ?中は相当まずいことになっているんでは?開発が4,5人てことはないだろうけど、全体に見通しがきく人物はその位の人数しかいないのかもしれない。
Re: Microsoft Teamsって (スコア:5, 参考になる)
Teamsが吸収合併するのは "Skype for Business" のほうで、本家 "Skype" とは別物です。
"Microsoft Office Communicator" → (名称変更) "Microsoft Lync" → (名称変更) "Microsoft Skype for Business" と変遷していったもので、近い将来には廃止されてTeamsに吸収合併予定です。
Re: (スコア:0)
お得意のコロコロ名前変更を繰り返したあげく全くの別物にSkypeという名前をかぶせてる時点で頭おかしい
Re: (スコア:0)
Skypeは超高速・超モダン [impress.co.jp]になったんじゃなかったっけ?
Re: (スコア:0)
> Windowsで作ったZIPを開くとファイル名が文字化けするし
これはどちらかというとWindowsのZipフォルダー機能の方をいい加減UTF-8対応にしてほしい。Windows 8以降展開時にファイル名が文字化けすることはなくなったし最近はこの事例みたいにかえってファイル名文字化けの原因になることがある
Re: (スコア:0)
エクスプローラーで展開すると普通なんだけど、それ以外の手段で展開すると日本語ファイル名が文字化けするzipファイルを送ってくるお客さんがいてこまってたりする。
Re: (スコア:0)
「それ以外の手段」を窓から投げ捨てたほうがいいぞ。どうせLhaplusとかだろ
Re: (スコア:0)
zip関連はファイル名はSJISが鉄則だぞ
Re: (スコア:0)
Windows汚染だな。
Windowsの勝手な仕様で世の中が悪い方向で汚染されていく例の一つ。
問
WindowsのZIPを修正するか、Teamsを修正するか?
回答
このような腐った仕様回避方法は文字コードから正しくエンコードすることです。
これはマイクロソフトの苦手なことです。
Re: Microsoft Teamsって (スコア:1)
ZIPの仕様としてはSJISとUTF8をフラグで識別できるので、フラグを正しくセットしていない圧縮ソフトの問題だと思う。
Windows標準の圧縮はSJISだがフラグも立てないので問題は無く、UTF8なのにフラグを立てない圧縮ソフトが腐ってる。
Re: (スコア:0)
片手落ちだった。
フラグを無視してSJIS(もしくはUTF8)決め打ちにする解凍ソフト(というのがあればだが)も問題
Re: (スコア:0)
Windowsの機能が糞ってこと
7ZIPをインストールするしかないよね
Windowsで圧縮を機能を廃止すれば解決する問題。
それ以外はWindowsそのものがなくなるとかすれば解決。
Re: (スコア:0)
7-Zip(笑)
Re: (スコア:0)
Windowsがゴミ、存在するだけで生産性悪い。
消えてなくなるのが世のため。
Re: (スコア:0)
ほぼ同意。
生産性悪いです。
RPAが生まれた背景にはWindowsの生産性が悪いことに起因していると思います。
Re: (スコア:0)
マイクロソフトがダメだっていう前提言えば解決策は簡単で、
解凍する処理で、SJISで解凍し、さらにUTF8で解凍したフォルダー作成する。
ユーザーは読めるのフォルダーを選択すればよい。ファイル名に差異がなけらば片方を消去する
この方法であれば、マイクロソフトはダメだなと思うが
ファイルがなんだかわからないはってのは回避できる。
Re: (スコア:0)
マイクロソフトがダメだっていう前提が違ってるところにアドホックな対策でバッドノウハウ積み上げてる感じがする
Re: (スコア:0)
中国語BIG5だか、あと他に同様の言語圏があればそれらと日本語のzipのやりとりに対応できてないと思うよ
Re: (スコア:0)
英語版のwindows-1252にすら対応できてない。いやZipのファイル名だからcp437か? どっちにしろ対応できてない。日本人プログラマーでANSIコードページとOEMコードページの違いを意識しているやつすらほとんどおらんだろ。今初めて聞いたと言うなら大人しくUTF-8で統一しろ
Re: (スコア:0)
世間一般的な解釈がどうなってるのかは知らんが、仕様を斜め読みした限りでは
フラグを立てれば、UTF-8エンコードなことを示せるとしか言ってないように思う。
つまり、フラグが立ってればUTF-8でなければならないのはそうだが、
UTF-8エンコードだからいって、フラグを立てる義務はない。
まあ、エンコード示せるのに敢えて示さない圧縮ソフトが腐ってるってのには同意するが。
Re: (スコア:0)
とはいっても
"If general purpose bit 11 is unset, the file name and comment SHOULD conform to the original ZIP character encoding."
と書かれているから、義務はないけどフラグを立てていない場合はUTF-8エンコードはすべきではないけどね。
Re: (スコア:0)
規格を持ち出すなら、original ZIP character encodingとはcp437のことだから、ファイル名をシフトJISでエンコードしたZipも本当は規格違反。HTML 3.2まで本来日本語は使えなかったというのと同様。
Re: (スコア:0)
shouldは推奨だから、守らなくても規格違反ではないでしょ。
必須はmustとshall。
Re: (スコア:0)
規格がテキトーだからgeneral purpose bit 11を立てていないときの文字化けは不可避と
Re: (スコア:0)
そういえばzipって展開すると__MACOSXみたいなフォルダできることあるけど、
あれなんでできるのか知らないのに気づきました。
Re: (スコア:0)
ただのMac汚染です
Re: (スコア:0)
AWSが提供している資料(.zip, tar)でもMac汚染とWin汚染の両方あるしね
文字化けだけならばいいんだけど、たまにTime Machine用ファイルも入ってて困惑する
プルリク絡みかな… (スコア:0)
electonのプロジェクトにプルリクを送らないといけないからなあ…
しかも、平文保存に依存してるやつがあったら…
Re: (スコア:0)
ローカルに保存する以上、標的になった時点で暗号化しても気休めにしかならんてのも有ると思う。
隔離環境となって他アプリからはアクセス不能みたいなOS側のサポートが有れば別だけど。
Re:プルリク絡みかな… (スコア:2)
そうだよね。
アプリ用の安全な記憶領域が利用できないなら、暗号化したとしても、
・鍵をアプリに埋め込み=アプリ解析すればすぐわかる
・鍵を記憶領域に保存=鍵も同様に盗める
ってなって意味がないと思うんだけど、この指摘は一体なにをしろと言ってるんだろう。
Re: (スコア:0)
たいていのブラウザーには他のブラウザーからログイン情報をインポートする機能が付いてるよな。ブラウザーにできるということはマルウェアにもできるということだ
Re: (スコア:0)
マルウェアの注入に成功してる時点でそんな面倒なことする必要なくね?
macOSでシステムログファイルに (スコア:0)
USER@PASS/URL形式で平文で記録されてて噴飯モンだったわ
Re: (スコア:0)
Microsoftが正しい (スコア:0)
これは脆弱性ではない。IT業界は雑にMicrosoftへのFUDをまきちらすのをいい加減にやめるべき。
Re: (スコア:0)
それ止めると生活の糧が無くなる人が居るから無理じゃない?
上の方の書き込みにもいるけど。
Re: (スコア:0)
Microsoftがなくなると生活の糧が無くなる人のほうが多い気がします。
MS製品の仕事しか出来ない技術者が多い。
このポンコツソフトやだ (スコア:0)
接続に再接続Teams
https://support.microsoft.com/ja-jp/office/%E6%8E%A5%E7%B6%9A%E3%81%AB... [microsoft.com]
いまからTeamsの再インストールおめでとう状態。
朝からだるい・・・・
Re: (スコア:0)
"I can't reconnect to Teams" の訳が、何で「接続に再接続Teams」になるかね。
"We're sorry you're having trouble syncing OneNote." の訳が「同期中に問題が発生して申し訳OneNote。」になったりするし…。
目的語の処理のバグか?
MicrosoftにBing Microsoft Translator [bing.com]でも教えてあげた方がいいかしら。