Recentemente, começamos a ver um fenômeno em que qualquer máquina executando o Microsoft Teams (versão Office 365 E3) emitirá o evento 4673 em uma taxa alta, indicando uma tentativa fracassada de usar o seProfileSingleProcessPrivilege. Contando um segundo aleatório dessas entradas, vi 120. O volume dessas falhas de auditoria está fazendo com que o log de segurança seja preenchido e sobrescrito tão rapidamente que nenhuma informação valiosa pode ser retida.
Por política, auditamos tanto o sucesso quanto a falha no uso de privilégios, portanto, desativar a auditoria não é uma opção. Conceder o privilégio a todos os usuários também parece uma prática de segurança inadequada.
Não vejo conversas sobre esse assunto, então estou me perguntando se estamos sozinhos com esse sintoma.
Não consigo explicar por que o Teams tentaria conceder esse privilégio a si mesmo.
Não encontramos nenhuma indicação de comprometimento e instalamos equipes em um laptop novo e vemos esse sintoma.
Eu adoraria ouvir ideias sobre como convencer as equipes a interromper esse comportamento.
Responder1
Abrimos um caso com o Suporte da Microsoft. Eles pesquisaram um pouco e descobriram que o Teams está escrito sobre o Chromium. O cromo échamando QueryWorkingSetEx. Não está claro por que isso é interessante, mas QueryWorkingSetEx requer seProfileSingleProcessPrivilege. Não está claro se QueryWorkingSetEx simplesmente falha ou se faz algo interessante, mesmo que não consiga ativar o privilégio. A Microsoft ainda está revisando neste momento.
Atualização 19/01/2023 – A Microsoft encerrou o caso sem nenhuma ação. Eles poderiam atualizar o Chromium para que esse comportamento seja mitigado. Eles optaram por não fazê-lo. Eles não se importam com esse problema e sua recomendação oficial foi parar de registrar o erro.
Responder2
Não acho que haja nada que você possa fazer, a não ser interromper temporariamente o uso de privilégios de auditoria (que, IMHO, é praticamente inútil, pois apenas cria ruído) e possivelmente aumentar o log do log de eventos de segurança.
Como esse privilégio é usado para monitoramento de desempenho e você o descobriu recentemente, parece que foi adicionado em uma atualização recente do Teams. Parece um bug no software onde talvez um desenvolvedor estivesse traçando o perfil de algo e se esqueceu de retirá-lo.
Seria interessante ver se versões mais antigas do Teams fazem a mesma coisa, caso você tenha alguns computadores com uma versão mais antiga.