Recientemente, comenzamos a ver un fenómeno en el que cualquier máquina que ejecute Microsoft Teams (versión Office 365 E3) emitirá el evento 4673 a una velocidad alta, lo que indica un intento fallido de utilizar seProfileSingleProcessPrivilege. Contando el valor de un segundo aleatorio de estas entradas, vi 120. El volumen de estas fallas de auditoría está causando que el registro de seguridad se llene y se sobrescriba tan rápidamente que no se puede retener información valiosa.
Por política, auditamos tanto el éxito como el fracaso en el uso de privilegios, por lo que desactivar la auditoría no es una opción. Otorgar el privilegio a todos los usuarios también parece una mala práctica de seguridad.
No veo comentarios sobre este tema, por lo que me pregunto si estamos solos con este síntoma.
No puedo explicar por qué Teams intentaría otorgarse este privilegio a sí mismo.
No podemos encontrar ningún indicio de compromiso, instalamos equipos en una computadora portátil nueva y vemos este síntoma.
Me encantaría escuchar alguna idea sobre cómo convencer a Teams de que detenga este comportamiento.
Respuesta1
Abrimos un caso con el soporte técnico de Microsoft. Investigaron un poco y descubrieron que Teams está escrito sobre Chromium. El cromo esllamando a QueryWorkingSetEx. No está claro por qué esto es interesante, pero QueryWorkingSetEx requiere seProfileSingleProcessPrivilege. No está claro si QueryWorkingSetEx simplemente falla o si hace algo interesante incluso si no puede habilitar el privilegio. Microsoft todavía está revisando en este momento.
Actualización 19/01/2023: Microsoft cerró el caso sobre esto sin tomar ninguna medida. Podrían actualizar Chromium para mitigar este comportamiento. Eligieron no hacerlo. A ellos rotundamente no les importa este problema y su recomendación oficial fue dejar de registrar el error.
Respuesta2
No creo que haya nada que pueda hacer por su parte, aparte de detener temporalmente la auditoría del uso de privilegios (que en mi humilde opinión es en gran medida inútil ya que solo crea ruido) y posiblemente aumentar el registro de eventos de seguridad.
Dado que este privilegio se utiliza para monitorear el rendimiento y lo descubrió recientemente, parece que se agregó en una actualización reciente de Teams. Suena como un error en el software en el que tal vez un desarrollador estaba perfilando algo y se olvidó de eliminarlo.
Sería interesante ver si las versiones anteriores de Teams hacen lo mismo, si tiene algunas computadoras con una versión anterior.