Pesquisadores de segurança divulgaram uma nova ferramenta do tipo Beacon Object File (BOF) capaz de explorar o Microsoft Teams para extrair tokens de autenticação, comprometendo o acesso a mensagens, e-mails e outros serviços do Microsoft 365. A técnica se aproveita do armazenamento de cookies de login do Teams em um banco SQLite e da forma como esses dados são criptografados localmente. O Microsoft Teams utiliza o componente msedgewebview2.exe, baseado em Chromium, para gerenciar sessões de autenticação.
No entanto, em vez de empregar proteções mais robustas, como o Windows Hello ou criptografia vinculada a serviços de sistema, o Teams ainda depende da API de Proteção de Dados do Windows (DPAPI), que se baseia em chaves ligadas ao perfil do usuário. A nova ferramenta, publicada no GitHub, injeta código diretamente nos processos do Teams ou nos subprocessos WebView. Ela consegue duplicar o handle do arquivo de cookies, mesmo com o bloqueio em tempo de execução, e descriptografar os dados com as chaves do próprio sistema. Isso permite ao invasor capturar tokens válidos de autenticação. Com esses tokens em mãos, um agente malicioso pode acessar conversas no Teams, e-mails associados, recursos via Microsoft Graph API e outros dados sensíveis, sem a necessidade de senhas ou MFA adicionais.
A técnica é especialmente perigosa em ambientes corporativos, onde o Teams é amplamente utilizado para comunicação e troca de informações estratégicas. Como a ferramenta é compatível com estruturas de comando e controle (C2) que suportam payloads Beacon, ela pode ser integrada a campanhas de ataque já em andamento, sem depender da criação de malware personalizado. Os pesquisadores alertam que a falha não é um bug novo no código do Teams, mas uma consequência do modelo de segurança utilizado. A Microsoft ainda não se pronunciou sobre uma correção específica para essa abordagem.
