Vous vous souvenez de la faille Microsoft Teams d’il y a quelques semaines qui ne permettait pas aux utilisateurs de Google Pixel d’appeler le 911 ? Il s’avère qu’il existe au moins quatre failles de sécurité dans le service de collaboration commerciale de Microsoft, dont une qui pourrait vous envoyer vers des sites Web malveillants ou de phishing, et Microsoft n’en a corrigé qu’une seule.
La société russe de sécurité de l’information Positive Technologies a relaté cette saga dans un article de blog mardi 22 décembre, expliquant que deux des nouvelles vulnérabilités sont spécifiques à Android tandis que les deux autres s’appliquent à tous les systèmes d’exploitation.
Aperçus d’images empoisonnées
La pire vulnérabilité permet à un attaquant d’échanger une URL malveillante, ou un lien Web, contre une URL légitime lorsque Teams affiche une image d’aperçu miniature. Cela fonctionne sous Windows, Mac, iOS et Linux ainsi qu’Android.
À l’aide d’un outil d’interception de trafic réseau commun, Fabian Bräunlein de Positive Technologies a réalisé un clip vidéo montrant comment il a remplacé un lien Google par ce qui semblait être un lien Bing – deux domaines qui n’auraient normalement rien à voir l’un avec l’autre.
« Lorsque vous cliquez sur l’aperçu, un lien différent de celui attendu par l’utilisateur s’ouvre », a écrit Bräunlein dans le billet de blog. « Cela peut être utilisé soit pour améliorer les attaques de phishing, soit pour masquer des liens malveillants. »
Microsoft a été informé de toutes ces failles par Positive Technologies en mars 2021, mais le fabricant du système d’exploitation a répondu que cette vulnérabilité particulière « ne constitue pas une menace immédiate qui nécessite une attention urgente car une fois que l’utilisateur clique sur l’URL, il devra allez à cette URL malveillante qui montrerait que ce n’est pas celle à laquelle l’utilisateur s’attendait. »
Apparemment, l’équipe Teams de Microsoft n’a jamais vu de site Web de phishing vraiment convaincant.
Renverser les haricots
Deux des autres failles révèlent des informations sur les autres parties lors d’un appel d’équipe qui doivent rester privées.
Le premier, que Positive Technologies dit que Microsoft a maintenant corrigé, permet à un attaquant d’envoyer un « aperçu de lien spécialement conçu » pour obtenir l’adresse IP (Internet Protocol) d’une autre personne si l’autre personne consulte une discussion Teams à partir d’un appareil Android.
Ces informations en elles-mêmes ne sont pas très malveillantes, mais le fait d’avoir l’adresse IP de l’autre partie pourrait permettre à l’attaquant de lancer des attaques contre cet utilisateur par d’autres moyens. Cette faille a été discrètement corrigée même après que Microsoft l’ait rejetée comme un autre problème qui « ne constitue pas une menace immédiate ».
Le second est plus un problème pour Microsoft lui-même. Bräunlein a découvert qu’avec un codage intelligent, qu’il ne révèle pas, il pourrait obtenir des informations sensibles sur le serveur Microsoft hébergeant une discussion Teams.
Selon Bräunlein, cela « peut être utilisé pour analyser les ports internes et envoyer des exploits basés sur HTTP aux services Web découverts », mais Microsoft a refusé de le corriger et a autorisé Positive Technologies à en discuter publiquement.
Démarrer, planter, répéter
Le dernier défaut est juste agaçant. Il permet à un attaquant (ou peut-être juste à un farceur) de planter l’application Teams Android en envoyant un lien d’aperçu d’image invalide, ou ce que Bräunlein appelle de manière divertissante le « Message de la mort ». Tout ce que vous avez à faire est de mettre quelque chose qui n’est pas un lien Web légitime dans l’espace où il devrait être.
« L’application continue de planter en essayant d’ouvrir le chat/canal avec le message malveillant, ce qui rend le chat/canal inutilisable pour les utilisateurs d’Android », a écrit Bräunlein.
Microsoft a déclaré à Positive Technologies « que ce problème ne nécessite pas de service de sécurité immédiat » et qu’un correctif « sera envisagé dans une future version » de Teams.
Interrogé sur le rapport Positive Technologies de Threatpost, Microsoft a déclaré que « nous avons enquêté sur les quatre rapports et avons conclu qu’ils ne posent pas de menaces immédiates nécessitant un correctif de sécurité ».
« Nous avons reçu des rapports similaires dans le passé et avons apporté plusieurs améliorations récentes à la gestion des données et à la sécurité en général », a ajouté Microsoft.
La morale de cette histoire est la suivante : n’exécutez peut-être pas Teams sur Android et faites très attention aux liens d’image sur lesquels vous cliquez dans Teams sur toutes les plateformes.
Vous voudrez également exécuter certains des meilleurs logiciels antivirus pour Windows, Mac, Android et même iOS (où il ne s’agit que d’un logiciel de sécurité) pour vous assurer que les liens malveillants sont bloqués à l’échelle du système.