Microsoft Teams était vulnérable face à un GIF malveillant

Microsoft a patché une vulnérabilité de prise de contrôle de sous-domaine dans sa plate-forme de collaboration Microsoft Teams. Cette faille aurait pu permettre à un attaquant interne de militariser une seule image GIF et de l’utiliser pour piller les données des systèmes ciblés et reprendre tous les comptes Microsoft Teams d’une organisation.

L’attaque consistait simplement à inciter une victime à visualiser une image GIF malveillante pour qu’elle fonctionne, selon des chercheurs de CyberArk qui ont également créé une preuve de concept (PoC) de l’attaque.

Microsoft a neutralisé la menace récemment, mettant à jour des registres DNS mal configurés, après que les chercheurs aient signalé la vulnérabilité le 23 mars.

«Même si un attaquant ne collecte pas beaucoup d’informations à partir d’un compte Microsoft Teams [compromis], il pourrait utiliser le compte pour traverser une organisation (comme un ver)», a écrit Omer Tsarfati, chercheur en sécurité informatique chez CyberArk, dans un document technique. «À terme, l’attaquant pourrait accéder à toutes les données des comptes Microsoft Teams de votre organisation – collecte d’informations confidentielles, données concurrentielles, secrets, mots de passe, informations privées, plans d’affaires, etc.»

L’attaque implique des pirates informatiques capables d’abuser d’un jeton Web JSON («authtoken») et d’un deuxième «jeton skype». La combinaison de ces deux jetons est utilisée par Microsoft pour permettre à un utilisateur de Microsoft Teams de voir des images partagées sur différents serveurs et services Microsoft tels que SharePoint et Outlook.

microsoft teams

La faille de sécurité réside dans les interfaces de programmation d’applications (API) utilisées pour faciliter la communication entre les services et les serveurs, a déclaré Tsarfati. En gros, Microsoft valide le cookie appelé «authtoken» et «jeton skype» via *.teams.microsoft.com. Ensuite, les chercheurs ont pu isoler et manipuler les jetons pour la preuve de concept.

Les cookie «authtoken» et «skypetoken_asm» sont envoyés à teams.microsoft.com – ou à tout sous-domaine sous teams.microsoft.com pour authentifier l’expéditeur et le destinataire du GIF, a écrit Tsarfati.

microsoft teams

Dans le cadre de la recherche de CyberArks, ils ont trouvé deux sous-domaines Microsoft non sécurisés «aadsync-test.teams.microsoft.com» et «data-dev.teams.microsoft.com» qui peuvent être contrôlés.

“Si un attaquant peut forcer un utilisateur à visiter les sous-domaines qui sont contrôlés, le navigateur de la victime enverra ce cookie au serveur de l’attaquant et l’attaquant (après avoir reçu l’authtoken) peut créer un jeton Skype. Après avoir fait tout cela, l’attaquant peut voler les données du compte Microsoft Teams de la victime », a indiqué la recherche.

“Maintenant, avec les deux jetons, le jeton d’accès (authtoken) et le jeton Skype, un attaquant pourra effectuer des appels/actions API via les interfaces API Teams – vous permettant d’envoyer des messages, de lire des messages, de créer des groupes, d’ajouter de nouveaux utilisateurs ou supprimer des utilisateurs des groupes, modifier les autorisations dans les groupes », ont écrit les chercheurs.

“La raison pour laquelle Microsoft Teams définit le cookie “authtoken” est dans le but authentifier l’utilisateur pour charger des images dans des domaines à travers Teams et Skype”, a expliqué le chercheur. “Lorsque la victime ouvre ce message, le navigateur de la victime essaiera de charger l’image et enverra le cookie d’authtoken au sous-domaine compromis.”

Cela permet à l’attaquant de mettre la main sur le «authtoken» de la victime et fournit en fin de compte un chemin d’accès aux données Microsoft Teams de la victime.

«Le fait que la victime ait seulement besoin de voir le message spécial pour être impacté est un cauchemar du point de vue de la sécurité. Chaque compte qui aurait pu être impacté par cette vulnérabilité aurait également pu être un point de diffusion pour tous les autres comptes de l’entreprise. La vulnérabilité peut également être envoyée à des groupes (a.k.a Teams), ce qui permet encore plus facilement à un attaquant de contrôler les utilisateurs rapidement et en moins d’étapes », a écrit le chercheur.

Microsoft a patché la faille de Microsoft Teams

Les chercheurs ont déclaré avoir collaboré avec Microsoft Security Research Center après avoir découvert la vulnérabilité de prise de contrôle de compte le 23 mars. Ils ont déclaré que Microsoft avait rapidement supprimé les registres DNS mal configurés des deux sous-domaines, ce qui a atténué le problème.

Si cet article vous a plu, jetez un œil à notre article précédent.