Хакеры могут получить доступ к чатам

Home Хакеры могут получить доступ к чатам
screenshot 2025 10 24 082412

Хакеры могут получить доступ к чатам и электронной почте Microsoft Teams, извлекая токены доступа

Исследователь безопасности Брахим Эль Фихи обнаружил новую технику, позволяющую хакерам извлекать зашифрованные токены аутентификации из Microsoft Teams в Windows, что открывает несанкционированный доступ к чатам, электронной почте и файлам SharePoint. Этот метод обходит недавние улучшения безопасности и создает серьезные риски для латерального перемещения и эксфильтрации данных в корпоративных средах.

Контекст угрозы: Microsoft Teams под прицелом

Статистика атак на Teams в 2025 году

Microsoft наблюдает значительный рост атак на платформу Teams, что привело к выпуску специального руководства по безопасности в октябре 2025 года. Согласно последнему отчету Microsoft Digital Defense Report 2025:

Глобальная статистика киберугроз Microsoft:

  • 100+ триллионов сигналов обрабатывается ежедневно
  • 4,5 миллиона попыток заражения вредоносным ПО блокируется каждый день
  • 38 миллионов обнаружений рисков идентификации анализируется ежедневно
  • 5 миллиардов электронных писем проверяется на наличие вредоносного ПО и фишинга

Мотивация атак (известные случаи):

  • 52% — вымогательство или программы-вымогатели
  • 37% — кража данных
  • 33% — атаки с элементом вымогательства
  • 19% — ransomware или деструктивная активность
  • 4% — только шпионаж

В 80% инцидентов кибербезопасности, расследованных командами безопасности Microsoft в прошлом году, злоумышленники стремились украсть данные.

Специфические угрозы для Teams

В июле 2025 года Malwarebytes сообщила о наблюдении вредоносной рекламной кампании, распространяющей малware для кражи учетных данных через поддельный установщик Microsoft Teams для Mac.

Типы атак на Teams:

  • Фишинг через сообщения Teams
  • Вредоносная реклама (malvertising)
  • Технические мошенничества поддержки
  • AiTM (Adversary-in-the-Middle) атаки
  • Социальная инженерия через видеозвонки
  • Email bombing с последующими звонками в Teams

Техническая эволюция: от plaintext к DPAPI

Ранние версии Teams (до 2022)

Ранние версии Microsoft Teams хранили токены аутентификации в виде открытого текста в файле SQLite по адресу %AppData%\Local\Microsoft\Teams\Cookies. Эта уязвимость была обнаружена компанией Vectra AI в 2022 году и позволяла простое чтение файлов для сбора токенов и злоупотребления Graph API, обходя многофакторную аутентификацию (MFA).

Текущая защита и новый вектор атаки

После обновлений Microsoft устранила хранение в открытом тексте, приняв зашифрованные форматы, соответствующие защите cookies в Chromium. Токены теперь используют шифрование AES-256-GCM, защищенное DPAPI (Data Protection API) — Windows API, который привязывает ключи к контекстам пользователя или машины для изоляции данных.

Что такое DPAPI и его уязвимости

Основы DPAPI

Data Protection API (DPAPI) — это встроенный в Windows криптографический интерфейс, доступный с Windows 2000. Это простой API, позволяющий разработчикам шифровать и дешифровать данные без реализации собственных алгоритмов шифрования.

Ключевые характеристики DPAPI:

  • Использует AES-256 для шифрования данных
  • Привязывает мастер-ключи к учетным данным пользователя
  • Применяется в Chrome, Edge, Internet Explorer, Skype и других приложениях
  • Используется для защиты сертификатов EFS и паролей Wi-Fi
  • Мастер-ключи создаются с использованием PBKDF2 из SHA-1 хеша пароля

Известные уязвимости DPAPI

Исторические проблемы:

  • CVE-2021-1645: Публичные криптографические ключи в Windows-контейнерах Docker
  • Уязвимость обратной совместимости (2014): Манипуляция с Bit 4 флага dwPolicy позволяет создать мастер-ключ в режиме совместимости с Windows 2000, использующем MD4 вместо SHA-1
  • DPAPick атака (BlackHat DC 2010): Возможность расшифровки всех DPAPI-защищенных данных в оффлайн-режиме

Текущие риски:

  • Резервный ключ домена DPAPI является неизменяемым — его можно извлечь один раз и использовать для будущих атак
  • Мастер-ключи хранятся в LSASS в незашифрованном виде
  • Мастер-ключи истекают через 3 месяца, но не удаляются — хранятся вечно

Детали атаки на токены Teams

Расположение токенов

Исследователи использовали ProcMon от SysInternals, отфильтровав операции WriteFile для msedgewebview2.exe — встроенного браузера Edge WebView2, порождаемого ms-teams.exe во время входа.

Критические местоположения данных:

  • База данных Cookies: %AppData%\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams\EBWebView\Cookies
  • Мастер-ключ: %AppData%\Local\Packages\MSTeams_8wekyb3d8bbwe\LocalCache\Microsoft\MSTeams\EBWebView\Local State
  • DPAPI блобы: %AppData%\Microsoft\Protect\{SID}

Структура зашифрованных токенов

Таблица SQLite Cookies содержит критические записи: host_key (например, teams.microsoft.com), name (идентификатор cookie) и encrypted_value с префиксом “v10” (0x76 0x31 0x30), указывающим на шифрование версии 10 Chromium.

Схема шифрования:

  • 3-байтовый тег: “v10”
  • 12-байтовый nonce: Initialization Vector для AES-256-GCM
  • Зашифрованная полезная нагрузка: Сами данные cookie

Процесс расшифровки

Шаг 1: Извлечение мастер-ключа

Мастер-ключ находится в JSON-файле Local State под ключом os_crypt.encrypted_key — строка Base64, начинающаяся с “DPAPI” после декодирования.

Шаг 2: Расшифровка мастер-ключа с помощью DPAPI

Используется Windows API CryptUnprotectData, требующий, чтобы контекст атакующего совпадал с контекстом пользователя. Инструменты для этого:

  • Mimikatz — для дампа учетных данных
  • SharpDPAPI — специализированный инструмент для DPAPI
  • DSInternals — для доменных операций
  • Impacket — Python-набор для сетевых протоколов

Шаг 3: Расшифровка токенов

Применяется AES-256-GCM с мастер-ключом и nonce к полезной нагрузке, получая токен аутентификации.

Ограничение: блокировка файлов

Proof of Concept Эль Фихи на Rust автоматизирует дамп токенов после завершения teams.exe для разблокировки файла, так как процесс удерживает эксклюзивную блокировку.

Что могут делать атакующие с токенами

Возможности Graph API

После получения токена атакующие могут использовать инструменты вроде GraphSpy для:

  • Чтение сообщений SharePoint
  • Доступ к электронной почте
  • Отправка сообщений Teams от имени жертвы
  • Доступ к календарю и контактам
  • Просмотр файлов OneDrive

Ограничения доступа: Ограничено разрешениями Teams, такими как:

  • Chat.ReadWrite — чтение и запись в чаты
  • Mail.Send — отправка почты
  • Files.Read.All — чтение всех файлов
  • Calendars.Read — чтение календарей

Primary Refresh Token (PRT)

Primary Refresh Token (PRT) Microsoft связан с этим механизмом, обеспечивая бесшовный SSO, но усиливая риски повторного использования токенов между приложениями.

Экспертная оценка угрозы

Почему это опасно

Уникальность атаки:

  1. Обходит MFA — токены уже прошли многофакторную аутентификацию
  2. Сложность обнаружения — токены выглядят легитимными
  3. Широкий доступ — один токен открывает доступ к множеству сервисов
  4. Персистентность — токены действительны до истечения срока или отзыва

Сравнение с другими векторами:

  • Легче, чем фишинговые атаки (не требует взаимодействия с пользователем после первоначального доступа)
  • Эффективнее, чем кража паролей (обходит MFA)
  • Тише, чем атаки на Active Directory (меньше сетевого шума)

Реальные сценарии использования

Сценарий 1: Инсайдерская угроза Недовольный сотрудник с локальным доступом может извлечь токены коллег и получить доступ к конфиденциальной корпоративной информации.

Сценарий 2: После компрометации После получения доступа к рабочей станции через фишинг или эксплойт, атакующий может извлечь токены Teams для расширения доступа к корпоративным коммуникациям.

Сценарий 3: Целевая разведка Атакующий может использовать токены для мониторинга внутренних обсуждений, выявления ключевых проектов и планирования дальнейших атак.

Сценарий 4: Социальная инженерия Российские хакеры из группы Midnight Blizzard имитировали команды безопасности и технической поддержки, убеждая цели “подтвердить свои личности под предлогом защиты учетных записей путем ввода кодов аутентификации”.

Меры защиты и рекомендации

Мониторинг и обнаружение

Меры защиты включают мониторинг завершений ms-teams.exe или необычных паттернов ProcMon, применение привязанного к приложению шифрования и предпочтение веб-версии Teams для избежания локального хранения.

Индикаторы компрометации (IoC):

  • Необычное завершение процесса ms-teams.exe
  • Доступ к файлам Cookies вне рабочего времени
  • Множественные попытки чтения Local State
  • Необычная активность Graph API с валидными токенами
  • Доступ к токенам с нетипичных IP-адресов

Технические меры защиты

1. Управление идентификацией:

  • Внедрить Conditional Access с Continuous Access Evaluation (CAE)
  • Внедрение устойчивой к фишингу многофакторной аутентификации (MFA) может остановить более 99% такого типа атак, даже если у атакующего есть правильная комбинация имени пользователя и пароля
  • Ротация токенов через политики Entra ID
  • Требовать соответствие устройств политикам

2. Защита конечных точек:

  • Использовать Microsoft Defender for Endpoint
  • Применять Attack Surface Reduction (ASR) правила
  • Включить Tamper Protection
  • Использовать App Control или AppLocker

3. Сетевой уровень:

  • Мониторинг аномальных вызовов Graph API
  • Анализ журналов API на аномалии
  • Ограничение внешних коммуникаций
  • Проверка паттернов доступа

4. Специфические для Teams:

  • Предпочитать веб-версию Teams
  • Ограничить внешний доступ гостей
  • Включить Privacy Mode
  • Отключить анонимных участников
  • Регулярный аудит разрешений приложений

Организационные меры

Обучение персонала:

  • Регулярные тренинги по безопасности
  • Симуляции фишинговых атак
  • Повышение осведомленности о социальной инженерии
  • Процедуры немедленного реагирования

Политики безопасности:

  • Принцип наименьших привилегий (Least Privilege)
  • Сегментация сети и доступа
  • Регулярный аудит доступа
  • Планы реагирования на инциденты

Технические детали для специалистов

Proof of Concept

Исследователь опубликовал PoC на Rust, демонстрирующий процесс. Python-эквиваленты, подобные тем, что используются для Chrome, демонстрируют аналогичную логику.

Пример структуры атаки:

1. Завершить teams.exe
2. Прочитать Local State → извлечь encrypted_key
3. Base64-декодировать → удалить префикс "DPAPI"
4. CryptUnprotectData → получить мастер-ключ
5. Прочитать Cookies DB → извлечь encrypted_value
6. Парсинг v10: 3-byte tag + 12-byte nonce + payload
7. AES-256-GCM расшифровка → получить токен

Инструменты для исследователей:

  • teams_dump (GitHub) — листинг и расшифровка базы данных
  • GraphSpy — использование токенов для доступа к Graph API
  • Mimikatz — дамп DPAPI мастер-ключей
  • ProcMon — мониторинг операций с файлами

Cookies, требующие внимания

После расшифровки атакующий получает доступ к cookies, таким как:

  • MUIDB — идентификатор Microsoft
  • TSREGIONCOOKIE — региональные настройки Teams
  • Токены аутентификации для teams.microsoft.com
  • Сессионные cookies для связанных сервисов Microsoft

Будущие векторы атак

Эволюция угроз

С развитием защитных механизмов можно ожидать:

  • AI-усиленные атаки — использование ИИ для генерации убедительных deepfake-звонков
  • Атаки нулевого клика — компрометация агентов ИИ в Teams
  • Цепочки атак — комбинирование извлечения токенов с другими техниками
  • Ransomware через Teams — использование скомпрометированных токенов для распространения

Финансово мотивированная группа Storm-0324 вероятно использовала TeamsPhisher для отправки фишинговых приманок через Teams для доставки кастомного малвара JSSloader.

Статистика и контекст индустрии

Рост угроз для коллаборационных платформ

Почему Teams в центре внимания:

  • 300+ миллионов активных пользователей ежемесячно
  • Интеграция с критическими корпоративными системами
  • Хранение конфиденциальной бизнес-информации
  • Широкое распространение во всех отраслях

Сравнение с другими платформами: В то время как Slack также подвергается атакам, масштаб развертывания Microsoft 365 делает Teams более привлекательной целью для киберпреступников.

Экономика киберпреступности

Брокеры доступа продают украденные учетные данные и точки входа в тысячи организаций, обеспечивая ransomware и мошенничество, делая вторжения готовыми к использованию.

Черный рынок токенов:

  • Стоимость корпоративных учетных данных: $100-$1000+
  • Токены доступа с MFA bypass: премиум-цены
  • Teams токены с высокими привилегиями: наиболее ценные

Выводы и рекомендации

Для организаций

Немедленные действия:

  1. Аудит текущих развертываний Teams
  2. Внедрение CAE для Teams
  3. Обновление политик безопасности конечных точек
  4. Обучение пользователей новым векторам угроз
  5. Развертывание DPAPI-aware правил EDR

Долгосрочная стратегия:

  • Переход к Zero Trust архитектуре
  • Непрерывный мониторинг и анализ угроз
  • Регулярные security assessments
  • Участие в threat intelligence sharing

Для специалистов по безопасности

Охота за угрозами (Threat Hunting):

  • Мониторить аномальный доступ к DPAPI файлам
  • Анализировать паттерны использования Graph API
  • Отслеживать необычные завершения Teams процессов
  • Проверять логи доступа из нестандартных местоположений

Реагирование на инциденты: При подозрении на компрометацию:

  1. Немедленная ротация всех токенов
  2. Принудительная повторная аутентификация
  3. Анализ логов Graph API за последние 90 дней
  4. Проверка доступа ко всем чувствительным ресурсам
  5. Forensic-анализ скомпрометированных систем

Заключение

Обнаружение метода извлечения токенов Microsoft Teams через DPAPI демонстрирует постоянную эволюцию ландшафта киберугроз. Хотя Microsoft продолжает улучшать защиту, атакующие адаптируют свои методы.

Anthropic признает, что публикация этих результатов несет потенциальные риски, но утверждает, что прозрачность приносит больше пользы защитникам, чем атакующим. Атаки с отравлением данных в некоторой степени благоприятствуют защите, так как привлечение внимания к практичности атак может помочь мотивировать защитников к необходимым действиям.

Организации должны принять многоуровневый подход к защите, включающий технические меры, обучение персонала и непрерывный мониторинг. Только комплексный подход может эффективно противостоять современным угрозам в области корпоративных коммуникаций.

Справочная информация

Оригинальное исследование: Brahim El Fikhi, 23 октября 2025
Источник: Randorisec Research Blog

Дополнительные ссылки:

  • Microsoft Security Blog: “Disrupting threats targeting Microsoft Teams”
  • Microsoft Digital Defense Report 2025
  • Anthropic Research: “Data Poisoning in LLMs”
  • UK AI Security Institute: Research Publications

Инструменты для тестирования (только для авторизованного использования):

  • teams_dump – https://github.com/[research-repository]
  • GraphSpy – Microsoft Graph API testing tool
  • Mimikatz – DPAPI analysis (ОСТОРОЖНО: может быть обнаружен антивирусами)

Отказ от ответственности: Информация предоставлена исключительно в образовательных целях. Несанкционированный доступ к компьютерным системам является незаконным.