Microsoft Teams stocke les jetons d’authentification en mode texte brut non crypté, permettant aux attaquants de contrôler potentiellement les communications au sein d’une organisation, selon la société de sécurité Vectra. La faille affecte l’application de bureau pour Windows, Mac et Linux construite à l’aide du framework Electron de Microsoft. Microsoft est conscient du problème, mais a déclaré qu’il n’avait pas prévu de correctif de sitôt, car un exploit nécessiterait également un accès au réseau.
Selon Vectra, un pirate informatique disposant d’un accès au système local ou distant pourrait voler les informations d’identification de tout utilisateur Teams actuellement en ligne, puis se faire passer pour lui même lorsqu’il est hors ligne. Ils pourraient également prétendre être l’utilisateur via des applications associées à Teams, comme Skype ou Outlook, tout en contournant l’authentification multifacteur (MFA) généralement requise.
« Cela permet aux attaquants de modifier les fichiers SharePoint, la messagerie et les calendriers Outlook, ainsi que les fichiers de discussion Teams », a écrit l’architecte de sécurité Vectra Connor Peoples. « Encore plus dommageable, les attaquants peuvent altérer les communications légitimes au sein d’une organisation en détruisant, en exfiltrant ou en se lançant de manière sélective dans des attaques de phishing ciblées. »
Les attaquants peuvent altérer les communications légitimes au sein d’une organisation en détruisant, en exfiltrant ou en se lançant de manière sélective dans des attaques de phishing ciblées.
Vectra a créé un exploit de preuve de concept qui leur a permis d’envoyer un message au compte du détenteur des informations d’identification via un jeton d’accès. « En supposant le contrôle total des sièges critiques – comme le directeur de l’ingénierie, le PDG ou le directeur financier d’une entreprise – les attaquants peuvent convaincre les utilisateurs d’effectuer des tâches préjudiciables à l’organisation. »
Le problème est principalement limité à l’application de bureau, car le framework Electron (qui crée essentiellement un port d’application Web) n’a « aucun contrôle de sécurité supplémentaire pour protéger les données des cookies », contrairement aux navigateurs Web modernes. En tant que tel, Vectra recommande de ne pas utiliser l’application de bureau tant qu’un correctif n’est pas créé, et d’utiliser l’application Web à la place.
Lorsqu’il est informé par le site d’actualités sur la cybersécurité Lecture sombre de la vulnérabilité, Microsoft a déclaré qu’elle « n’atteint pas notre barre de service immédiat car elle nécessite qu’un attaquant accède d’abord à un réseau cible », ajoutant qu’elle envisagerait de la résoudre dans une future version du produit.
Cependant, le chasseur de menaces John Bambenek a déclaré Lecture sombre il pourrait fournir un moyen secondaire de « déplacement latéral » en cas de violation du réseau. Il a également noté que Microsoft s’oriente vers des applications Web progressives qui « atténueraient bon nombre des problèmes actuellement soulevés par Electron ».
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation. Tous les prix sont corrects au moment de la publication.