Em uma postagem no blog escrita por Andrey Belenko, a Microsoft disse que anunciou recentemente uma nova versão do aplicativo de desktop Microsoft Teams. A atualização é uma visão geral das mudanças arquitetônicas nas novas equipes, disse a gigante do software.
De acordo com a empresa, a nova atualização vem com melhores melhorias de segurança, mudando do Electron para o WebView2 e implantando pacotes MSIX mais seguros em vez de soluções personalizadas. Agora, vamos dar uma olhada na nova atualização do Microsoft Team.
Implantando pacotes MSIX mais seguros
Segundo a gigante do software, os novos Teams não dependem mais de soluções sob medida para implantação e atualizações. Em vez disso, agora ele utiliza pacotes MSIX e o App Installer, ambos com suporte nativo pelo Windows.
Com os novos pacotes MSIX, o Microsoft Teams reduziu bastante a superfície de risco e os custos de manutenção em comparação com o uso de um instalador e atualizador personalizado. Ao mesmo tempo, a empresa acrescentou que também está deixando de instalar o Teams no perfil do usuário.
A instalação no perfil do usuário é simples e não exige direitos superiores, mas também facilita tarefas rotineiras pós-exploração, como manutenção de persistência. O novo Teams será instalado em um local privilegiado onde usuários não administradores não poderão adulterar seus arquivos executáveis, pois depende do App Installer para instalação.
Mudando de Electron para WebView2
Uma das mudanças arquitetônicas mais significativas no novo Microsoft Teams é a mudança do Electron para o Edge WebView2. O mecanismo do navegador Chromium serve de base para Electron e WebView2, mas a mudança para WebView2 dá às novas equipes acesso a diversas eficiências.
Andrey Belenko observou que o novo Microsoft Teams em Windows aproveita o WebView2 em um modelo de distribuição perene. Isso significa que o tempo de execução do WebView2 é atualizado com o navegador Edge e independentemente do cliente Teams, e pode ser compartilhado entre vários aplicativos de incorporação.
Além disso, o modelo de distribuição perene também traz o benefício de segurança de fornecer o tempo de execução mais recente e seguro para incorporação de aplicativos. A Microsoft disse que a mudança para o tempo de execução Evergreen do WebView2 permite reduzir a carga de trabalho associada ao backporting e fornecer correções de segurança aos clientes com mais rapidez.
As novas melhorias da equipe da Microsoft
Resumindo, a Microsoft acrescentou que o novo Team foi bastante aprimorado com uma melhor segurança na web através dos Trusted Types. Essas melhorias podem ser resumidas da seguinte forma:
Modernizando a pilha do framework web: aqui a nova equipe é reconstruída usando React. A Microsoft disse que optou pelo React porque torna mais fácil para os engenheiros escreverem códigos mais seguros.
A Política de Segurança de Conteúdo (CSP) também foi aprimorada para permitir ajustes mais granulares, resultando em uma política mais rígida e ajustada.
E, finalmente, a empresa acrescentou que investiu significativamente na mitigação de ataques de script entre sites e na implantação de tipos confiáveis. Trusted Types é uma tecnologia aplicada pelo navegador projetada para evitar XSS do lado do cliente, como aqueles resultantes da gravação de marcação HTML não higienizada no DOM.
Quando Tipos confiáveis estão habilitados, o navegador protegerá propriedades e funções que podem resultar na modificação do DOM contra serem atribuídas ou chamadas com entradas não processadas por uma função de sanitização aprovada.