Microsoft Teams: Kritische Sicherheitslücke ermöglicht Chat-Diebstahl
Der Kern des Problems: Schwächerer Schlüsselschutz
Forscher entdecken schwerwiegende Schwachstelle in der Cookie-Verschlüsselung der Microsoft Teams Desktop-Anwendung. Ein neu entwickeltes Tool kann Nachrichten und Authentifizierungstoken ohne Administratorrechte abgreifen.
Sicherheitsforscher haben eine bedrohliche Lücke in Microsoft Teams aufgedeckt, die Angreifern den Zugriff auf Chat-Nachrichten und sensible Kommunikation ermöglicht. Das heute veröffentlichte Tool „teams-cookies-bof” nutzt eine grundlegende Schwäche in der Verschlüsselung der Desktop-Anwendung aus – und schafft damit einen gefährlichen neuen Angriffsvektor für Millionen Nutzer der beliebten Kollaborationsplattform.
Die Entdeckung der Forscher von Tier Zero Security zeigt: Teams schützt seine Verschlüsselungsschlüssel deutlich schwächer als moderne Webbrowser. Dadurch können Cyberkriminelle Benutzer-Sessions kapern, private Unterhaltungen mitlesen und sich möglicherweise durch ganze Microsoft 365-Umgebungen bewegen.
Der entscheidende Unterschied liegt in der Absicherung der Verschlüsselungsschlüssel. Während moderne Browser wie Chrome oder Edge auf robuste COM-basierte Dienste mit SYSTEM-Rechten setzen, verlässt sich Teams auf die deutlich schwächere Data Protection API (DPAPI) des aktuellen Nutzers.
Teams verwendet die Chromium-Komponente msedgewebview2.exe zur Darstellung von Inhalten. Bei der Anmeldung speichert die Anwendung Session-Cookies in einer lokalen SQLite-Datenbank – genau wie ein Standard-Browser. Der entscheidende Unterschied: Der Schlüssel zum Schutz dieser Cookies ist über den DPAPI-Master-Key des Benutzers zugänglich.
Das neue Tool umgeht geschickt ein bisheriges Hindernis für Angreifer. Früher scheiterte der Cookie-Diebstahl oft daran, dass die Datenbank gesperrt war, während Teams lief. „Teams-cookies-bof” arbeitet jedoch direkt im Teams-Prozess und nutzt DLL- oder COM-Hijacking-Techniken.
Vom Cookie zum Vollzugriff: Das Angreifer-Arsenal
Einmal im System, eröffnet das Tool Cyberkriminellen weitreichende Möglichkeiten. Mit den entschlüsselten Cookies erhalten Angreifer Zugang zu Authentifizierungstoken für verschiedene Microsoft-Dienste – einschließlich der mächtigen Graph API.
Die Folgen sind dramatisch: Angreifer können private und Gruppen-Chats mitlesen, sich als kompromittierte Nutzer ausgeben und gezielte Phishing-Angriffe gegen Kollegen starten. Darüber hinaus ermöglicht der Zugriff das Abgreifen sensibler Daten aus Teams-Kanälen und möglicherweise auch aus verknüpften SharePoint- und OneDrive-Konten.
Anzeige: Während Angreifer in Teams-Chats mitlesen können, sollten Sie privat keine Angriffsfläche bieten. Der kostenlose PDF-Report zeigt Schritt für Schritt, wie Sie in wenigen Minuten zu Telegram wechseln, Ihre Nummer verbergen und verschlüsselte/geheime Chats sowie die wichtigsten Sicherheitseinstellungen aktivieren. So chatten Sie komfortabel und ohne neugierige Mitleser. Jetzt den kostenlosen Telegram-Guide herunterladen
Besonders brisant: Die gestohlenen Token lassen sich mit anderen Tools wie GraphSpy kombinieren – für Angriffe auf ganze Microsoft 365-Ökosysteme.
Wachsende Sorgen um Kollaborationsplattformen
Die Entdeckung reiht sich in eine Serie von Sicherheitsbedenken bei Unternehmens-Kollaborationstools ein. Bereits 2022 fanden Vectra-Forscher eine Schwachstelle bei der Speicherung von Anmeldedaten in Klartext. Microsoft sah damals keinen unmittelbaren Handlungsbedarf, da Angreifer zunächst Netzwerkzugang benötigten.
Doch was bedeutet das heute? Die Veröffentlichung eines einfach nutzbaren Tools senkt die Hürden für Cyberkriminelle dramatisch. Die Entscheidung, auf schwächere DPAPI-Verschlüsselung zu setzen, unterscheidet Teams negativ von modernen Browsern.
Gegenmaßnahmen und Ausblick
Microsoft hat bislang keine öffentliche Stellungnahme zu dem Tool oder der zugrundeliegenden Schwachstelle abgegeben. Das größte Risiko besteht für Organisationen, in denen Angreifer bereits Fuß gefasst haben.
Sicherheitsexperten empfehlen sofortige Schutzmaßnahmen: Robuste Endpoint-Detection-Lösungen können verdächtige Prozessaktivitäten überwachen. Organisationen sollten Nutzerrechte einschränken und kompromittierte Konten genau beobachten.
Bis zu einer offiziellen Lösung von Microsoft bleiben Sicherheitsteams gewarnt: Verdächtige Aktivitäten rund um Teams-Prozesse und Authentifizierungsereignisse erfordern höchste Aufmerksamkeit.
