Il existe une faille de sécurité dans Microsoft Teams qui permet aux acteurs de la menace de se connecter aux comptes d’autres personnes, même si ces comptes sont protégés par une authentification multifacteur, ont affirmé des chercheurs.
Les analystes en cybersécurité de Vectra affirment que l’application de bureau Teams pour Windows, Linux et Mac stocke les jetons d’authentification des utilisateurs en texte clair, sans qu’aucun verrou ne protège l’accès. Toute personne ayant un accès local à un système sur lequel Teams est installé peut voler ces jetons et les utiliser pour se connecter aux comptes.
« Cette attaque ne nécessite pas d’autorisations spéciales ou de logiciels malveillants avancés pour s’en tirer avec des dommages internes majeurs », a déclaré Connor Peoples de Vectra. en ce moment.
Jetons actifs
Le problème réside dans le fait que Microsoft Teams est une application Electron, exécutée dans une fenêtre de navigateur. Comme Electron ne prend pas en charge le cryptage ou les emplacements de fichiers protégés par défaut, il est un peu plus facile à utiliser, mais également risqué du côté de la protection des données. Une analyse plus approfondie a révélé que les jetons n’étaient pas stockés par erreur ou dans le cadre d’un vidage de données précédent.
« Après examen, il a été déterminé que ces jetons d’accès étaient actifs et non un vidage accidentel d’une erreur précédente. Ces jetons d’accès nous ont donné accès aux API Outlook et Skype », a expliqué Vectra. De plus, le dossier « cookies » contenait également jetons, informations de compte, données de session et autres informations précieuses.
Mais Microsoft a minimisé le tout, affirmant que ce n’était pas si grave et qu’il ne répondait pas aux critères de correction.
Dans une déclaration envoyée à BipOrdinateur, Microsoft a déclaré: «La technique décrite ne répond pas à notre barre de service immédiat car elle nécessite qu’un attaquant accède d’abord à un réseau cible. Nous apprécions le partenariat de Vectra Protect dans l’identification et la divulgation responsable de ce problème et nous envisagerons de le résoudre dans une future version du produit.
Vectra, en revanche, n’est pas d’accord, et pour prouver son point de vue, il a développé un exploit qui abuse d’un appel API, permettant à un utilisateur de s’envoyer des messages à lui-même. En lisant la base de données des cookies via le moteur SQLite, l’exploit a pu recevoir les jetons d’authentification dans un message.
Si vous êtes inquiet pour votre entreprise (s’ouvre dans un nouvel onglet) ayant ses jetons arrachés, vous devez passer à la version du navigateur du client Teams, suggère Vectra. Les utilisateurs de Linux doivent migrer vers une collaboration différente (s’ouvre dans un nouvel onglet) plate-forme également.
- Ce sont les meilleurs VoIP (s’ouvre dans un nouvel onglet) solutions dès maintenant
Via : BleepingComputer (s’ouvre dans un nouvel onglet)