Il a été identifié qu'une opportunité post-exploitation pourrait permettre à des acteurs malveillants disposant d'un accès suffisant au système de fichiers local ou distant de voler des informations d'identification utilisateur valides à Microsoft Teams en raison de leur stockage en texte brut sur disque.
Avec ces jetons, les attaquants peuvent assumer l'identité du détenteur du jeton pour toutes les actions possibles via le client Microsoft Teams, y compris l'utilisation de ce jeton pour accéder aux fonctions de l'API Microsoft Graph à partir du système d'un attaquant. De plus, ces jetons sont également valables avec les comptes compatibles MFA, ce qui permet de contourner les contrôles MFA pendant l'utilisation continue.
Lorsque ces jetons sont volés, cela permet aux attaquants de modifier les fichiers SharePoint, la messagerie et les calendriers Outlook et les fichiers de discussion Teams. Les attaquants peuvent altérer les communications légitimes au sein d'une organisation en détruisant, en exfiltrant ou en se lançant de manière sélective dans des attaques de phishing ciblées.
Pour plus de détails, veuillez consulter ce
blog.