パスワードを忘れた? アカウント作成
15794015 story
マイクロソフト

Microsoft Teams のデスクトップアプリが認証トークンを平文で保存する問題、修正予定なし 49

ストーリー by headless
放置 部門より
Microsoft Teams のデスクトップアプリが認証トークンを平文で保存していることが Vectra の調べにより判明したのだが、報告を受けた Microsoft では修正の必要な問題ではないと回答しているそうだ (Vectra のブログ記事Ars Technica の記事Dark Reading の記事VentureBeat の記事)。

Microsoft Teams のデスクトップアプリ (Windows / Mac / Linux) は Electron ベースのウェブアプリケーションだ。しかし、標準状態のElectronでは、通常のウェブブラウザーで利用可能なファイルをセキュアに保持する仕組みなどが利用できない。Microsoft Teams アプリでは認証トークンが特別な権限なく読み取り可能な場所に平文で保存されているため、ローカルやリモートの攻撃者は容易に認証トークンを入手できる。認証トークンは Microsoft Teams 以外の Microsoft 365 アプリケーション等への攻撃も可能にし、多要素認証もバイパス可能だ。

しかし、Microsoft では攻撃者が初めにターゲットのネットワークへのアクセスを可能にする必要があることから、至急サービスの必要な問題の要件を満たさないなどと回答したという。ただし、Dark Reading に提供した声明では将来の製品リリースでの対応を検討するとも述べているとのこと。このような回答について、Vectra の Connor Peoples 氏は Progressive Web App への移行を進める Microsoft が Electron アプリの修正に力を割きたくないのだとの見方を示す。そのため、Vectra では Microsoft Teams アプリの利用中止と、ブラウザー上での利用を推奨している。
  • by Anonymous Coward on 2022年09月18日 18時13分 (#4328505)

    GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的
    https://news.mynavi.jp/techplus/article/20220914-2453757/ [mynavi.jp]
    またなのかい?

    ここに返信
    • by Anonymous Coward on 2022年09月19日 1時38分 (#4328642)

      > 実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。

      何これ。ユーザーが実行ファイルをインストールした時点で攻撃完成してるじゃん

      • by Anonymous Coward

        やられた際にネットワーク監視で検知するのが困難になる可能性の指摘なので、ある程度アナウンスの意味はある。

      • by Anonymous Coward

        「Stager」って有名なアプリなの?ウイルスの類なの?

        検索しても情報がでてこない。

        • by Anonymous Coward

          機能で分類したときの名前。
          攻撃用のプログラムを読み込む為の小さいプログラムの事。

          sophosの解説 [sophos.com]

    • by Anonymous Coward

      今攻撃対象になってるだけで、Teamsに限らんから気を付けて。

    • by Anonymous Coward

      「実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。」

      Teams云々以前の話じゃん。結局はメールなりSNSなり経由で実行ファイルを実行・インストールさせるんだから

      • by Anonymous Coward

        会社などの組織でフィルタリングし難いという点は有るかなぁ。

  • by Anonymous Coward on 2022年09月18日 21時59分 (#4328577)

    まるで、4〜5人で作っていて手が回らなくんて直せない。
    って感じですね。
    Windowsで作ったZIPを開くとファイル名が文字化けするし
    直る気配はないし・・・
    テキスト編集がバグだらけ、リンクおかしかったり、カーソル動かなかったり
    Windowsが原因で不安定なのかteamsの欠陥なのかわらんけど
    あまりいい出来ではないね。

    ここに返信
    • by Anonymous Coward on 2022年09月18日 22時36分 (#4328591)

      Microsoft Team1「他のTeamが直すだろ」
      Microsoft Team2「他のTeamが直すべ」
      Microsoft Team3「他のTeamが直すろう」

    • by Anonymous Coward on 2022年09月19日 0時54分 (#4328630)

      よくは知らんけど、Skypeを合併し、Classroomを合併し、Yammerも合併するんだっけ?中は相当まずいことになっているんでは?開発が4,5人てことはないだろうけど、全体に見通しがきく人物はその位の人数しかいないのかもしれない。

      • by Anonymous Coward on 2022年09月19日 7時28分 (#4328681)

        Teamsが吸収合併するのは "Skype for Business" のほうで、本家 "Skype" とは別物です。
        "Microsoft Office Communicator" → (名称変更) "Microsoft Lync" → (名称変更) "Microsoft Skype for Business" と変遷していったもので、近い将来には廃止されてTeamsに吸収合併予定です。

        • Skype (本家): 会社ごと買収して生まれた製品。サービス提供であって、サーバソフトウェアは非公開。有料プランもあるが基本無料。持ち込みの電話回線とは接続できず、有料サービスでSkype側指定の番号を使用。
        • Skype for Business: 旧Office Communicator/Lync。オンプレでサーバ構築でき、Microsoft Officeとの連携も容易。サーバ/クライアントとも有料。持ち込みの電話回線(BYOC)とも接続可能。オンライン版である "Skype for Business Online" は既にサポート終了済み。
        • Teams: 上記2つとは全く別の新しいソフトウェア。クラウドサービスのみの提供で、ほとんどの機能は無料で使用できる (Office365を買えば付いてくるが)。持ち込みの電話回線とも接続可能。 "Skype" とは相互通話できるが、 "Skype for Business" とは相互通話できない。
        • by Anonymous Coward

          お得意のコロコロ名前変更を繰り返したあげく全くの別物にSkypeという名前をかぶせてる時点で頭おかしい

      • by Anonymous Coward

        Skypeは超高速・超モダン [impress.co.jp]になったんじゃなかったっけ?

    • by Anonymous Coward

      > Windowsで作ったZIPを開くとファイル名が文字化けするし

      これはどちらかというとWindowsのZipフォルダー機能の方をいい加減UTF-8対応にしてほしい。Windows 8以降展開時にファイル名が文字化けすることはなくなったし最近はこの事例みたいにかえってファイル名文字化けの原因になることがある

      • by Anonymous Coward

        エクスプローラーで展開すると普通なんだけど、それ以外の手段で展開すると日本語ファイル名が文字化けするzipファイルを送ってくるお客さんがいてこまってたりする。

        • by Anonymous Coward

          「それ以外の手段」を窓から投げ捨てたほうがいいぞ。どうせLhaplusとかだろ

    • by Anonymous Coward

      zip関連はファイル名はSJISが鉄則だぞ

      • by Anonymous Coward

        Windows汚染だな。
        Windowsの勝手な仕様で世の中が悪い方向で汚染されていく例の一つ。


        WindowsのZIPを修正するか、Teamsを修正するか?

        回答
        このような腐った仕様回避方法は文字コードから正しくエンコードすることです。
        これはマイクロソフトの苦手なことです。

        • by Anonymous Coward on 2022年09月19日 9時07分 (#4328707)

          ZIPの仕様としてはSJISとUTF8をフラグで識別できるので、フラグを正しくセットしていない圧縮ソフトの問題だと思う。
          Windows標準の圧縮はSJISだがフラグも立てないので問題は無く、UTF8なのにフラグを立てない圧縮ソフトが腐ってる。

          • by Anonymous Coward

            片手落ちだった。
            フラグを無視してSJIS(もしくはUTF8)決め打ちにする解凍ソフト(というのがあればだが)も問題

            • by Anonymous Coward

              Windowsの機能が糞ってこと
              7ZIPをインストールするしかないよね
              Windowsで圧縮を機能を廃止すれば解決する問題。
              それ以外はWindowsそのものがなくなるとかすれば解決。

              • by Anonymous Coward

                7-Zip(笑)

              • by Anonymous Coward

                Windowsがゴミ、存在するだけで生産性悪い。
                消えてなくなるのが世のため。

              • by Anonymous Coward

                ほぼ同意。
                生産性悪いです。
                RPAが生まれた背景にはWindowsの生産性が悪いことに起因していると思います。

          • by Anonymous Coward

            マイクロソフトがダメだっていう前提言えば解決策は簡単で、
            解凍する処理で、SJISで解凍し、さらにUTF8で解凍したフォルダー作成する。
            ユーザーは読めるのフォルダーを選択すればよい。ファイル名に差異がなけらば片方を消去する
            この方法であれば、マイクロソフトはダメだなと思うが
            ファイルがなんだかわからないはってのは回避できる。

            • by Anonymous Coward

              マイクロソフトがダメだっていう前提が違ってるところにアドホックな対策でバッドノウハウ積み上げてる感じがする

            • by Anonymous Coward

              中国語BIG5だか、あと他に同様の言語圏があればそれらと日本語のzipのやりとりに対応できてないと思うよ

              • by Anonymous Coward

                英語版のwindows-1252にすら対応できてない。いやZipのファイル名だからcp437か? どっちにしろ対応できてない。日本人プログラマーでANSIコードページとOEMコードページの違いを意識しているやつすらほとんどおらんだろ。今初めて聞いたと言うなら大人しくUTF-8で統一しろ

          • by Anonymous Coward

            世間一般的な解釈がどうなってるのかは知らんが、仕様を斜め読みした限りでは
            フラグを立てれば、UTF-8エンコードなことを示せるとしか言ってないように思う。

            つまり、フラグが立ってればUTF-8でなければならないのはそうだが、
            UTF-8エンコードだからいって、フラグを立てる義務はない。

            まあ、エンコード示せるのに敢えて示さない圧縮ソフトが腐ってるってのには同意するが。

            • by Anonymous Coward

              とはいっても
              "If general purpose bit 11 is unset, the file name and comment SHOULD conform to the original ZIP character encoding."
              と書かれているから、義務はないけどフラグを立てていない場合はUTF-8エンコードはすべきではないけどね。

              • by Anonymous Coward

                規格を持ち出すなら、original ZIP character encodingとはcp437のことだから、ファイル名をシフトJISでエンコードしたZipも本当は規格違反。HTML 3.2まで本来日本語は使えなかったというのと同様。

              • by Anonymous Coward

                shouldは推奨だから、守らなくても規格違反ではないでしょ。
                必須はmustとshall。

              • by Anonymous Coward

                規格がテキトーだからgeneral purpose bit 11を立てていないときの文字化けは不可避と

        • by Anonymous Coward

          そういえばzipって展開すると__MACOSXみたいなフォルダできることあるけど、
          あれなんでできるのか知らないのに気づきました。

          • by Anonymous Coward

            ただのMac汚染です

            • by Anonymous Coward

              AWSが提供している資料(.zip, tar)でもMac汚染とWin汚染の両方あるしね
              文字化けだけならばいいんだけど、たまにTime Machine用ファイルも入ってて困惑する

  • by Anonymous Coward on 2022年09月18日 21時44分 (#4328573)

    electonのプロジェクトにプルリクを送らないといけないからなあ…
    しかも、平文保存に依存してるやつがあったら…

    ここに返信
    • by Anonymous Coward

      ローカルに保存する以上、標的になった時点で暗号化しても気休めにしかならんてのも有ると思う。
      隔離環境となって他アプリからはアクセス不能みたいなOS側のサポートが有れば別だけど。

      • by nim (10479) on 2022年09月19日 7時39分 (#4328685)

        そうだよね。
        アプリ用の安全な記憶領域が利用できないなら、暗号化したとしても、

        ・鍵をアプリに埋め込み=アプリ解析すればすぐわかる
        ・鍵を記憶領域に保存=鍵も同様に盗める

        ってなって意味がないと思うんだけど、この指摘は一体なにをしろと言ってるんだろう。

      • by Anonymous Coward

        たいていのブラウザーには他のブラウザーからログイン情報をインポートする機能が付いてるよな。ブラウザーにできるということはマルウェアにもできるということだ

        • by Anonymous Coward

          マルウェアの注入に成功してる時点でそんな面倒なことする必要なくね?

  • by Anonymous Coward on 2022年09月19日 14時22分 (#4328795)

    USER@PASS/URL形式で平文で記録されてて噴飯モンだったわ

    ここに返信
    • by Anonymous Coward
      Basic認証はそういうもんやろ
  • by Anonymous Coward on 2022年09月19日 17時32分 (#4328851)

    これは脆弱性ではない。IT業界は雑にMicrosoftへのFUDをまきちらすのをいい加減にやめるべき。

    ここに返信
    • by Anonymous Coward

      それ止めると生活の糧が無くなる人が居るから無理じゃない?
      上の方の書き込みにもいるけど。

      • by Anonymous Coward

        Microsoftがなくなると生活の糧が無くなる人のほうが多い気がします。

        MS製品の仕事しか出来ない技術者が多い。

  • by Anonymous Coward on 2022年09月20日 9時12分 (#4329108)

    接続に再接続Teams
    https://support.microsoft.com/ja-jp/office/%E6%8E%A5%E7%B6%9A%E3%81%AB... [microsoft.com]

    いまからTeamsの再インストールおめでとう状態。
    朝からだるい・・・・

    ここに返信
    • by Anonymous Coward

      "I can't reconnect to Teams" の訳が、何で「接続に再接続Teams」になるかね。
      "We're sorry you're having trouble syncing OneNote." の訳が「同期中に問題が発生して申し訳OneNote。」になったりするし…。
      目的語の処理のバグか?

      MicrosoftにBing Microsoft Translator [bing.com]でも教えてあげた方がいいかしら。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...