Foi identificado que uma oportunidade pós-exploração poderia permitir que agentes mal-intencionados com acesso local ou remoto suficiente ao sistema de arquivos roubem credenciais de usuário válidas do Microsoft Teams devido ao armazenamento de texto sem formatação em disco.
Com esses tokens, os invasores podem assumir a identidade do detentor do token para quaisquer ações possíveis por meio do cliente do Microsoft Teams, incluindo o uso desse token para acessar as funções da API do Microsoft Graph no sistema de um invasor. Além disso, esses tokens são igualmente válidos com contas habilitadas para MFA, criando uma permissão para ignorar as verificações de MFA durante o uso contínuo.
Quando esses tokens são roubados, eles permitem que os invasores modifiquem arquivos do SharePoint, emails e calendários do Outlook e arquivos de bate-papo do Teams. Os invasores podem adulterar as comunicações legítimas dentro de uma organização, destruindo, exfiltrando ou realizando ataques de phishing direcionados seletivamente.
Para mais detalhes, consulte este
blog.