visioconference Teams

La société CyberArk a découvert une faille de sécurité qui aurait touché les versions web et bureau de Teams sur la période de fin février à mi-mars.

Depuis le début du confinement, plusieurs outils se concurrencent sur le secteur de la collaboration en ligne et de la visioconférence. Ces dernières semaines, ZOOM, l'un de ces outils, a déjà été pointé du doigt suite à la découverte de nombreuses failles de sécurité responsables du vol de données de centaines de milliers d'utilisateurs de la plateforme.

Aujourd'hui, c'est Microsoft Teams, une autre grosse plateforme de collaboration en ligne, qui aurait été prise pour cible par des utilisateurs malveillants.

Un simple GIF à l'origine de la faille

Le coupable serait un GIF auquel aurait été intégré un lien malveillant similaire aux liens de phishing, à la différence que ces derniers requièrent un clic de l'utilisateur pour s'ouvrir. Ici, la simple vue du GIF « infecté » permettait la récupération des identifiants Teams de l'utilisateur.

Et pour cause, la gestion des tokens d'authentification (ou jetons d'accès, soit ce qui regroupe les informations d'identification des utilisateurs et leur permet d'avoir accès aux images envoyées sur un groupe de conversation auquel ils appartiennent) est opérée par Microsoft Teams via le domaine teams.microsoft.com et des sous-domaines découlant de cette adresse.

Or, CyberArk a mis au jour deux sous-domaines compromis de Teams
(aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com) : le GIF n'avait alors qu'à être hébergé sur l'un de ces deux sous-domaines pour que les hackers puissent s'en servir comme point d'entrée dans le système d'une organisation.

En effet, teams.microsoft.com et tous ses sous-domaines servant à la gestion des tokens d'authentification, en compromettre un signifie avoir accès aux logins de chaque utilisateur qui y accède.

gif evil

Pour faire une démonstration de l'exploitation de la faille, CyberArk a utilisé un GIF de Donald Duck, facilement identifiable par les utilisateurs.

La société spécialisée en cyber-sécurité estime en effet que les hackers auraient pu créer une réaction en chaîne pour qu'un utilisateur touché par la faille en « infecte » un autre. Ainsi, chaque utilisateur d'une organisation aurait pu être le point de départ de la faille.

Quel impact pour les utilisateurs de Teams ?

Selon CyberArk, il est difficile d'identifier la quantité et la nature des données compromises. Il pourrait s'agir de mots de passe ou encore d'informations confidentielles au sujet de l'organisation. La faille a été signalée à Microsoft le 23 mars, et l'entreprise a corrigé le jour-même les enregistrements DNS mal configurés des deux sous-domaines responsables.

Microsoft a par ailleurs déclaré ne pas avoir détecté d'utilisation de la faille sur son service de collaboration mais travaille pour s'assurer qu'aucun « exploit » similaire ne soit possible à l'avenir. Quoi qu'il en soit, la découverte de cette faille arrive mal avec le lancement tout récent de Microsoft 365.

Source : Forbes