Microsoft Teams のデスクトップアプリが認証トークンを平文で保存していることが Vectra の調べにより判明したのだが、報告を受けた Microsoft では修正の必要な問題ではないと回答しているそうだ (Vectra のブログ記事、 Ars Technica の記事、 Dark Reading の記事、 VentureBeat の記事)。

Microsoft Teams のデスクトップアプリ (Windows / Mac / Linux) は Electron ベースのウェブアプリケーションだ。しかし、標準状態のElectronでは、通常のウェブブラウザーで利用可能なファイルをセキュアに保持する仕組みなどが利用できない。Microsoft Teams アプリでは認証トークンが特別な権限なく読み取り可能な場所に平文で保存されているため、ローカルやリモートの攻撃者は容易に認証トークンを入手できる。認証トークンは Microsoft Teams 以外の Microsoft 365 アプリケーション等への攻撃も可能にし、多要素認証もバイパス可能だ。

しかし、Microsoft では攻撃者が初めにターゲットのネットワークへのアクセスを可能にする必要があることから、至急サービスの必要な問題の要件を満たさないなどと回答したという。ただし、Dark Reading に提供した声明では将来の製品リリースでの対応を検討するとも述べているとのこと。このような回答について、Vectra の Connor Peoples 氏は Progressive Web App への移行を進める Microsoft が Electron アプリの修正に力を割きたくないのだとの見方を示す。そのため、Vectra では Microsoft Teams アプリの利用中止と、ブラウザー上での利用を推奨している。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ソフトウェア | 暗号 | デベロッパー |

関連ストーリー：
Microsoft Teams、電子メールサービス Tutanota のアドレスによる登録をブロック 2022年08月08日
「IME パッド」から表示と異なる文字が入力される問題、Windows 10環境では修正予定なし 2022年07月19日
Microsoft 曰く、フィードバックHubで最多の賛成票を集めても要望の数としてはごくわずか 2022年04月10日
Microsoft Teams、サブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントの乗っ取り可能な問題を修正 2020年04月29日
Firefox 71、17年以上前にリクエストされていたキオスクモード起動オプションを追加へ 2019年10月10日
Microsoftの広告SDKを通じた不正広告キャンペーン、1か月以上経過しても対策なし 2019年06月08日
Mozilla、日本政府の公開鍵基盤（GPKI）について「対応予定なし」というステータスに 2018年03月01日
AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは 2017年09月10日
Windows 7/8.1をWebページから停止させることも可能なNTFSのバグ 2017年05月28日
Windows 10のディスククリーンアップ自動実行機能を利用してUACをバイパスする方法 2016年07月28日
Microsoft、発見者に125,000ドルの賞金を支払ったバグを修正せず 2015年06月25日
Google、Windowsの未修正脆弱性をさらに公表 2015年01月18日