Gli hacker possono accedere alle chat e email di Microsoft Teams tramite token di accesso
Uncategorized
1
Posts
1
Posters
0
Views
-
Gli hacker possono accedere alle chat e email di Microsoft Teams tramite token di accesso
Una recente scoperta ha rivelato che gli hacker possono sfruttare una falla in Microsoft Teams su Windows per ottenere token di autenticazione crittografati, i quali garantiscono l’accesso a chat, email e file archiviati su SharePoint senza autorizzazione. Brahim El Fikhi ha dettagliato questa vulnerabilità in un post pubblicato il 23 ottobre 2025, evidenziando come i token, conservati all’interno di un database di cookie ispirato a quello di Chromium, siano vulnerabili alla decrittazione tramite l’utilizzo dell’API di Protezione Dati (DPAPI) fornita da Windows.
I token di accesso offrono agli aggressori la possibilità di impersonare gli utenti, inviando ad esempio messaggi o email di Teams a nome delle vittime, al fine di eseguire attacchi di ingegneria sociale o per mantenere la persistenza. Tali metodi eludono i recenti potenziamenti della sicurezza, mettendo a rischio gli ambienti aziendali con possibili spostamenti laterali e conseguente esfiltrazione dei dati.
Il focus di El Fikhi sulle applicazioni desktop di Office, soprattutto Teams, rivela vulnerabilità nei componenti browser incorporati, deputati alla gestione dell’autenticazione tramite login.microsoftonline.com. Un’analisi recente segnala che l’ecosistema Microsoft resta un bersaglio privilegiato, vista la diffusione capillare all’interno delle aziende.
Le prime versioni di Microsoft Teams memorizzavano i cookie di autenticazione in testo normale all’interno del file SQLite in %AppData%LocalMicrosoftTeamsCookies, una falla scoperta da Vectra AI nel 2022 che consentiva semplici letture di file per raccogliere token per l’abuso della Graph API, bypassando l’MFA.
Gli aggiornamenti hanno eliminato questo tipo di archiviazione in testo normale, adottando formati crittografati allineati alla protezione dei cookie di Chromium per impedire il furto su disco. Tuttavia, questo cambiamento introduce nuovi vettori di attacco. I token ora utilizzano la crittografia AES-256-GCM protetta da DPAPI, un’API di Windows che collega le chiavi ai contesti utente o macchina per l’isolamento dei dati.
Per contrastare le minacce, sono previste misure che comprendono il monitoraggio delle interruzioni anomale di ms-teams.exe o di pattern ProcMon inusuali.
Inoltre, è consigliabile utilizzare l’uso di team basati sul web in modo da limitare l’archiviazione locale. La rotazione dei token tramite policy ID Entra e il monitoraggio dei log API per rilevare irregolarità sono ulteriori passaggi cruciali.
Man mano che le minacce a Teams si evolvono, assumono un’importanza fondamentale le regole EDR che si basano su DPAPI.
L'articolo Gli hacker possono accedere alle chat e email di Microsoft Teams tramite token di accesso proviene da Red Hot Cyber.
Gli ultimi otto messaggi ricevuti dalla Federazione
-
@evan Oooh, you caught a new Teeny Void Demon in the cat trap! What a perfectly seasonal addition to the family, congrats.
And welcome, Corvus! My black-but-for-that-silly-pointing-mutation Sudo sez "YOOOOWWWWWLLLOOOOooooo".
-
Making a Virtual Machine Look like Real Hardware to Malware
Running suspicious software in a virtual machine seems like a basic precaution to figure out whether said software contains naughty code. Unfortunately it’s generally rather easy to detect whether or not one’s software runs inside a VM, with [bRootForce] going through a list of ways that a VirtualBox VM can be detected from inside the guest OS. While there are a range of obvious naming issues, such as the occurrence of the word ‘VirtualBox’ everywhere, there many more subtle ways too.
Demonstrated is the PoC ‘malware’ application called Al-Khaser, which can be used to verify one’s anti-malware systems, such as when trying to unleash a debugger on a piece of malware, run it inside a VM, along with many more uses. Among its anti-virtualization features are specific registry key names and values, file system artefacts, directory names, MAC addresses, virtual devices, etc.
In order to squeeze by those checks, [bRootForce] created the vbox_stealth shell script for Bash-blessed systems in order to use the VirtualBox Manager for the renaming of hardware identifier, along with the VBoxCloak project’s PowerShell script that’s used inside a Windows VirtualBox guest instance to rename registry keys, kill VirtualBox-specific processes, and delete VirtualBox-specific files.
Theoretically this should make it much harder for any malware to detect that it’s not running inside Windows on real hardware, but as always there are more subtle ways that are even harder to disguise.
-
On that note, we have a new member of our family. His name is Corvus. He is smol but mighty. We like him alot. /cc @maj @amita @Stavro #BlackCatDay
-
@stevendbrewer LOL
-
@evan Can I write it in PHP as long as I call the python library somehow?
-
Tutti gli psicodrammi in Apple sull’Ai
L'articolo proviene da #StartMag e viene ricondiviso sulla comunità Lemmy @informatica
Presa in contropiede da Trump, che l'ha costretta a indirizzare 500 miliardi in piani di sviluppo negli Usa, Apple continua a essere in difficoltà sul fronte Ai. Siri, dopo tanti rinvii, non può certo più mancare il debutto del prossimo
-
Are you on the Fediverse because you love social networking, or because you hate social networking?
-
It's for Computer Networking. I have to write a processor that takes a bespoke CSV format for firewall rules and turns them into calls to OpenFlow using a Python library called pox.
