Les chercheurs de CyberArk, une société spécialisée dans les solutions de sécurité à accès privilégié, ont découvert une vulnérabilité de sécurité qui aurait pu être exploitée par des pirates informatiques pour détourner les comptes Microsoft Teams en envoyant des liens spécialement conçus ou des images GIF aux utilisateurs de l’organisation ciblée. La vulnérabilité, qui nécessitait que l’utilisateur d’un compte cible regarde simplement l’image ou clique sur le lien pour qu’une attaque soit menée, provenait de la façon dont Teams traite les images et pouvait permettre le vol de données.
Microsoft Teams est une plateforme de communication et de collaboration de premier plan qui combine un chat permanent sur le lieu de travail, des réunions vidéo, le stockage de fichiers, la collaboration sur des fichiers et l’intégration avec des applications. Covid-19 entraînant une augmentation considérable du nombre de personnes travaillant à distance et s’appuyant sur des outils tels que Teams et Zoom, la perspective d’une vulnérabilité aussi facilement exploitable est préoccupante.
Aujourd’hui, plus que jamais, ces plateformes constituent le seul recours pour presque tout, du simple chat avec un membre de votre équipe à une réunion d’entreprise à laquelle tout le monde participe, en n’oubliant pas les classes virtuelles. Pour cela, la quantité de données qui entrent dans ces applications est énorme et comprend souvent des informations confidentielles, allant des noms d’utilisateur et des mots de passe à des informations commerciales top secrètes, ce qui en fait des cibles privilégiées pour les attaquants.
Les chercheurs de la société de sécurité CyberArk ont découvert le problème il y a plus d’un mois. Ils ont déclaré dans leur article de blog publié lundi : « Peut-être plus inquiétant encore, ils pourraient aussi exploiter cette vulnérabilité pour envoyer de fausses informations aux employés – en se faisant passer pour les dirigeants les plus fiables d’une entreprise – ce qui entraînerait des dommages financiers, de la confusion, des fuites de données directes, et bien plus encore », ont expliqué les chercheurs.
Mais Microsoft a déjà remédié au problème de sécurité. « Nous avons abordé la question et avons travaillé avec le chercheur dans le cadre de la divulgation coordonnée de la vulnérabilité. Bien que nous n’ayons pas vu d’utilisation de cette technique dans la nature, nous avons pris des mesures pour assurer la sécurité de nos clients », a déclaré un porte-parole de Microsoft dans un communiqué.
La vulnérabilité qui aurait pu occasionner le vol de données
Selon les chercheurs, chaque fois qu’un utilisateur ouvre Microsoft Teams, un nouveau jeton d’accès est généré et le client Teams utilise l’un des jetons d’accès générés pour permettre à l’utilisateur de voir les images partagées avec lui ou par lui. Les chercheurs ont découvert un problème dans la manière dont Microsoft Teams transmet les jetons d’accès aux ressources d’images.
En ce qui concerne l’attaque par visionnage d’image GIF, lorsque la victime voit l’image dans Teams, son jeton d’accès ne peut être envoyé qu’à un sous-domaine de teams.microsoft.com, de sorte que l’attaquant doit d’une manière ou d’une autre détourner ce sous-domaine. Et lors de leurs tests, les chercheurs ont découvert que deux sous-domaines, aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com du domaine teams.microsoft.com, étaient vulnérables à une prise de contrôle de sous-domaine.
Par ailleurs, les recherches de CyberArk ont montré qu’il existe des centaines de sous-domaines Microsoft légitimes qui peuvent être détournés et exploités à des fins d’hameçonnage, de diffusion de logiciels malveillants et d’escroquerie. Cependant, un attaquant doit trouver les sous-domaines teams.microsoft.com pour mener une attaque. CyberArk a également admis que trouver un sous-domaine approprié n’est pas une tâche facile, mais il pense qu’un attaquant ayant la bonne méthode et les bonnes ressources trouvera probablement plus de sous-domaines.
Une fois qu’il a obtenu le jeton de l’utilisateur qui a regardé le GIF malveilant, l’attaquant peut l’utiliser pour détourner le compte de la victime via les interfaces API de Teams. En utilisant cette méthode, l’attaquant peut lire les messages Teams de l’utilisateur, envoyer des messages en son nom, créer des groupes, ajouter ou supprimer des utilisateurs d’un groupe et modifier les autorisations du groupe, lit-ont dans l’article des chercheurs.
Selon les chercheurs, l’ensemble de l’attaque peut être automatisé, de sorte à permettre aux acteurs malveillants de se propager dans une organisation comme un ver en utilisant les comptes compromis pour envoyer le GIF aux autres utilisateurs de Teams. Cela leur permet d’obtenir des informations potentiellement sensibles à partir des comptes Teams, notamment des données confidentielles, des mots de passe, des données de réunions et de calendrier, et des plans d’activité, mettant ainsi en danger les organisations.
En travaillant avec les chercheurs de CyberArk, « Microsoft a rapidement supprimé les enregistrements DNS mal configurés des deux sous-domaines, qui étaient exposés et pouvaient être repris. En outre, Microsoft a mis en place des mesures d’atténuation supplémentaires au fil du temps et continue à développer des dispositifs de sécurité pour éviter que des failles similaires ne se reproduisent à l’avenir », a écrit CyberArk.
Check out my write-up about an account takeover vulnerability I found in Microsoft Teams.
By sending a GIF, you could get access to the user's data and "ultimately take over an organization's entire roster of Teams accounts".https://t.co/CLMBHiPcdE pic.twitter.com/2xGLuzwygK
— Omer Tsarfati (@OmerTsarfati) April 27, 2020
Cette nouvelle pourrait-elle profiter aux concurrents ?
Cette faille a été découverte dans un contexte où Microsoft est sous pression pour améliorer la vidéo de Teams afin d’empêcher les clients de basculer vers Zoom, d’après un article publié en fin mars par le site Web Petri.com. En effet, les clients reprochent à Teams de Microsoft d’offrir moins de fonctionnalités que les offres concurrentes pour les grandes réunions. Parmi les configurations que les utilisateurs demandent à l’entreprise d’améliorer, il y a la disposition 2 x 2 utilisée par Teams pour présenter les participants aux réunions. Les commentaires disaient que la galerie de Zoom est plus attrayante et engageante visuellement que la disposition de Teams, mais selon Petri.com, Microsoft a réagi aux demandes des utilisateurs et s’est engagé « à augmenter le nombre de participants affiché dans la fenêtre principale de la réunion ».
Alors que le travail à domicile est devenu la nouvelle norme, Zoom a attiré de nouveaux utilisateurs de sorte que le nombre d’utilisateurs actifs de la plateforme de vidéoconférence a connu en mars une croissance moyenne de 151 % par rapport à un an plus tôt, selon Apptopia. Reuters a rapporté en mars que Zoom avait pris le dessus sur Microsoft Teams. Mais Zoom a aussi connu une période très difficile où les faiblesses de la plateforme ont attiré de nombreux critiques. Cependant, la société est en train de remédier à ces problèmes de sécurité et de confidentialité.
Alors que Zoom prépare une nouvelle version plus sécurisée de sa plateforme de vidéoconférence, l’entreprise a publié la semaine dernière qu’elle a passé le cap des 300 millions d’utilisateurs par jour et ses actions en bourse atteignent un record. Bien que la vulnérabilité de prise de contrôle de compte Microsoft Teams soit déjà corrigée et que l’entreprise ait pris des mesures pour assurer la sécurité de ses clients, les utilisateurs préféraient-ils davantage Zoom qui a mis dernièrement l’accent sur la sécurité et confidentialité ?
source : developpez