Bleeping Computerは9月14日(米国時間)、「Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs」において、Microsoft TeamsのアプリがWindows、Linux、Macで認証トークンを平文で保存していると伝えた。セキュリティ研究者がMicrosoft Teamsのデスクトップアプリに、認証トークンや多要素認証(MFA: Multi-Factor Authentication)を有効にしたアカウントへ不正アクセスできる深刻な脆弱性があることを発見している。
セキュリティ研究者の調査によって、Windows、Linux、Mac用のMicrosoft Teamsデスクトップクライアントがユーザー認証トークンへのアクセスを保護せずに平文で保存していることが判明した。これにより、Microsoft Teamsがインストールされているシステムのローカルにアクセスできる攻撃者は、トークンを盗み出し、被害者のアカウントにログインするために悪用できるとされている。
この脆弱性を発見したセキュリティベンダーであるVectraのセキュリティ研究者は、このセキュリティ問題をMicrosoftに報告している。Microsoftはこの脆弱性は攻撃者が最初にターゲットネットワークにアクセスする必要があるため、直ちに対応することはないとしており、将来の製品リリースでの対応を検討していると回答している。
パッチが適用されるまで、ユーザーはWebブラウザ版のMicrosoft Teamsクライアントに切り替えることが推奨されている。Microsoft Edgeを使用してアプリをロードすることで、ユーザーはトークン漏洩に対する追加の保護措置を受けることができるとしている。またLinuxユーザーに対しては、Microsoftが12月までに同プラットフォーム向けのアプリのサポートを終了する計画を発表しているため、別のコラボレーションツールに移行するよう勧められている。