Microsoft Teams speichert die Zugriffstoken im Klartext, mit denen sich die Nutzer in Teams bei den Microsoft-Diensten anmelden. Angreifer mit Zugriff aufs Dateisystem des PCs können die Datei klauen und Zugriff auf die Microsoft-Dienste wie Skype und Outlook ergaunern, ohne das Passwort des Nutzers zu kennen; auch eine Zweifaktor-Absicherung wird so übergangen. Das haben die Forscher der kalifornischen Cybersecurity-Firma Vectra herausgefunden. Betroffen sind die Windows-, Linux- und macOS-Versionen von Teams, die alle drei das Electron-Framework nutzen. Eine Electron-Anwendung ist eine Art Webapp mit angeflanschtem Browser – und der speichert beispielsweise in Cookies abgelegte Tokens unverschlüsselt. Microsoft will laut Vectra den Fehler beheben, aber erst mit einem späteren Patch: Dringlichkeit sei nicht geboten, weil Angreifer einen ohnehin kompromittierten PC benötigen würden, um an die Token zu kommen. So lange sollten Teams-Nutzer vor allem an PCs, die von mehreren Personen benutzt werden, nur noch die Web-Version von Teams nutzen – moderne Browser sind gegen solche Token-Übernahmen abgesichert. Auch die iOS- und Android-Version sind nicht auf diese Art angreifbar. Für Linux empfiehlt Vectra generell den Umstieg auf die Web-Version, da Microsoft den Linux-Client zum Jahresende auf eine reine PWA umstellen möchte. Windows- und macOS-Nutzer können nach dem Patch wieder auf die Desktop-Version wechseln, zumindest auf Rechnern, wo sie oder Admins die Kontrolle über die installierte Version haben.
