2022 augusztusában a Vectra Protect csapata azonosított egy olyan támadási útvonalat, amely lehetővé teszi a fájlrendszerhez hozzáféréssel rendelkező rosszindulatú támadó számára, hogy ellopják a Microsoft Teams bármelyik bejelentkezett felhasználójának hitelesítő adatait. A támadóknak nincs szükségük emelt szintű engedélyekre ezen fájlok olvasásához, ami minden olyan rosszindulatú támadásnak teret enged, amelyek helyi vagy távoli fájlelérést biztosít. Ezen túlmenően a biztonsági résről megállapították, hogy az összes kereskedelmi és asztali Teams klienst érinti Windows, Mac és Linux operációs rendszereken is.

Kutatásuk felfedezte, hogy a Microsoft Teams alkalmazás a hitelesítési tokeneket egyszerű szövegben tárolja. Ezekkel a tokenekkel a támadók felvehetik a token tulajdonosának személyazonosságát a Microsoft Teams kliensen keresztül bármilyen engedélyezett művelethez, beleértve a token használatát a Microsoft Graph API funkciók eléréséhez a támadó rendszeréből. Ami még rosszabb, ezek az ellopott tokenek lehetővé teszik a támadók számára, hogy többtényezős azonosítást használó fiókokkal végezzenek műveleteket, így megteremtve a többtényezős azonosítás megkerülését.

A Microsoft tisztában van ezzel a problémával, és lezárta az ügyet azzal, hogy az nem felel meg az azonnali szoftver-hibajavítást igénylő követelményeinek. Amíg a Microsoft nem lép a Teams asztali alkalmazás frissítésére, a kutatók úgy gondolják, hogy az ügyfeleknek érdemes megfontolniuk, hogy kizárólag a webes Teams alkalmazást használják. Azon ügyfelek számára, akiknek a telepített asztali alkalmazást kell használniuk, kritikus fontosságú, hogy figyeljék a kulcsfontosságú alkalmazásfájlokat, hogy a hivatalos Teams alkalmazáson kívül más folyamatok ne férjenek hozzá.

Javaslatok a sérülékenység kihasználásának elkerüléséhez

A Samba összeomolhatott vagy rendszergazdaként futtathatott programokat, amennyiben speciálisan kialakított hálózati forgalommal keresik fel.

Orange Tsai felfedezte, hogy a Samba vfs_fruit modul helytelenül kezelte a bizonyos memória műveleteket. Egy távoli támadó ezt a hibát kihasználva okozhatja a Samba összeomlását, ami a szolgáltatás megtagadásához vezethet, vagy esetleg a tetszőleges kódot futtathat root felhasználóként.

Hibát fedeztek fel a sudo csomagban, amely a megadott felhasználónak, egy másik felhasználó nevében, a megadott vagy az összes parancsot futtathatja. A sudo program most felfedezett hibája lehetőséget biztosít arra, hogy a támadó, amennyiben a ALL kulcsszó meg van adva, akkor root jogosultságot érhet el, akkor is ha a root felhasználó használata számára le van tiltva.

Például:

    myhost bob = (ALL, !root) /usr/bin/vi

sudoers fájlban megadott forma esetén bob magasabb, root jogosultságot szerezhet a következő paranccsok egyikével:

Nem kell megijedni, a Linux Mint 18.2 és korábbi változatai nem sérülékenyek. Az LMDE2 sem. Csak ezeknél újabb, azaz teszt verziókban kell javítani a systemd túlcsordulásos sebezhetőségét és minden linux disztribúciónál, amely a sebezhető verziójú systemd-t használja. A probléma abból ered, hogy a systemd túlságosan kicsi buffert biztosít a TCP-csomagok számára, így egy speciálisan összeállított csomag segítségével túlcsordulás idézhető elő, speciális körülmények között pedig kódfuttatásra is rávehető a megtámadott rendszer.