Une faille donnait non seulement accès à toutes les données du compte, mais autorisait également l’exécution de code arbitraire sur l’ordinateur, et cela sans aucune interaction de la victime. Toutes les conditions étaient donc réunies pour en faire un dangereux ver.
Le chercheur en sécurité Oskar Vegeris a révélé une faille de type « cross-site scripting » dans Teams. Elle permettait, en publiant un message, de pirater le compte et l’ordinateur de toute personne l’ayant lu. Aucune autre interaction n’était nécessaire.
Le pirate pouvait alors non seulement accéder à toutes les données de la victime dans Teams, mais aussi exécuter du code arbitraire sur son ordinateur (Windows, Mac ou Linux), à condition que celui-ci utilise l’application Desktop.
L’infection pouvait se faire en masse, en publiant le message malveillant dans un canal très fréquenté, et de proche en proche, en provoquant une publication dans un autre canal. Bref, cette faille avait le potentiel d’un dangereux ver.
Pour autant, Microsoft n’a pas classé cette vulnérabilité comme étant critique. Le chercheur a simplement obtenu le label « Important, Spoofing », et il se demande encore aujourd’hui ce que cela signifie.
« Au moins maintenant, nous avons une nouvelle blague entre collègues — chaque fois que nous avons un bogue d’exécution de code à distance (RCE), nous l’appelons “Important, Spoofing”. Merci Microsoft ! », explique-t-il dans son rapport.
La faille a été corrigée en octobre dernier.