Se identificó que una oportunidad posterior a la explotación podría permitir que los actores maliciosos con suficiente acceso al sistema de archivos local o remoto roben credenciales de usuario válidas de los equipos de Microsoft debido a su almacenamiento de texto sin formato en el disco.
Con estos tokens, los atacantes pueden asumir la identidad del titular del token para cualquier acción posible a través del cliente de Microsoft Teams, incluido el uso de ese token para acceder a las funciones de la API de Microsoft Graph desde el sistema de un atacante. Además, estos tokens son igualmente válidos con cuentas habilitadas para MFA, lo que crea una asignación para omitir los controles de MFA durante el uso continuo.
Cuando se roban estos tokens, los atacantes pueden modificar los archivos de SharePoint, el correo y los calendarios de Outlook y los archivos de chat de Teams. Los atacantes pueden alterar las comunicaciones legítimas dentro de una organización mediante la destrucción selectiva, la exfiltración o la participación en ataques de phishing dirigidos.
Para obtener más detalles, consulte este
blog.