L'utilisation de Teams dans un navigateur est en fait plus sûre que l'utilisation des applications de bureau de Microsoft, qui sont intégrées à un navigateur.  C'est beaucoup à travailler.
Agrandir / L’utilisation de Teams dans un navigateur est en fait plus sûre que l’utilisation des applications de bureau de Microsoft, qui sont intégrées à un navigateur. C’est beaucoup à travailler.

Le client Teams de Microsoft stocke les jetons d’authentification des utilisateurs dans un format texte non protégé, permettant potentiellement aux attaquants disposant d’un accès local de publier des messages et de se déplacer latéralement dans une organisation, même avec l’authentification à deux facteurs activée, selon une société de cybersécurité.

Vectra recommande d’éviter le client de bureau de Microsoft, construit avec le framework Electron pour créer des applications à partir de technologies de navigateur, jusqu’à ce que Microsoft ait corrigé la faille. L’utilisation du client Teams basé sur le Web dans un navigateur comme Microsoft Edge est, quelque peu paradoxalement, plus sécurisée, affirme Vectra. Le problème signalé affecte les utilisateurs Windows, Mac et Linux.

Microsoft, pour sa part, estime que l’exploit de Vectra “n’atteint pas notre barre de service immédiat” car il nécessiterait d’autres vulnérabilités pour pénétrer à l’intérieur du réseau en premier lieu. Un porte-parole a déclaré à Dark Reading que la société “envisagera de résoudre (le problème) dans une future version du produit”.

Chercheurs chez Vectra a découvert la vulnérabilité en aidant un client essayant de supprimer un compte désactivé de sa configuration Teams. Microsoft exige que les utilisateurs soient connectés pour être supprimés, c’est pourquoi Vectra a examiné les données de configuration du compte local. Ils ont entrepris de supprimer les références au compte connecté. Ce qu’ils ont trouvé à la place, en recherchant le nom de l’utilisateur dans les fichiers de l’application, ce sont des jetons, en clair, fournissant un accès à Skype et Outlook. Chaque jeton trouvé était actif et pouvait accorder l’accès sans déclencher de défi à deux facteurs.

Allant plus loin, ils ont conçu un exploit de preuve de concept. Leur version télécharge un moteur SQLite dans un dossier local, l’utilise pour analyser le stockage local d’une application Teams à la recherche d’un jeton d’authentification, puis envoie à l’utilisateur un message prioritaire avec son propre texte de jeton. Les conséquences potentielles de cet exploit sont plus importantes que le hameçonnage de certains utilisateurs avec leurs propres jetons, bien sûr :

Toute personne qui installe et utilise le client Microsoft Teams dans cet état stocke les informations d’identification nécessaires pour effectuer toute action possible via l’interface utilisateur Teams, même lorsque Teams est arrêté. Cela permet aux attaquants de modifier les fichiers SharePoint, la messagerie et les calendriers Outlook et les fichiers de discussion Teams. Encore plus dommageable, les attaquants peuvent altérer les communications légitimes au sein d’une organisation en détruisant, en exfiltrant ou en se lançant de manière sélective dans des attaques de phishing ciblées. Il n’y a pas de limite à la capacité d’un attaquant à se déplacer dans l’environnement de votre entreprise à ce stade.

Vectra note que le déplacement via l’accès aux équipes d’un utilisateur présente un puits particulièrement riche pour les attaques de phishing, car les acteurs malveillants peuvent se faire passer pour des PDG ou d’autres cadres et rechercher des actions et des clics d’employés de niveau inférieur. C’est une stratégie connue sous le nom de Business Email Compromise (BEC) ; vous pouvez lire à ce sujet sur le blog On the Issues de Microsoft.

Il a déjà été constaté que les applications Electron abritaient des problèmes de sécurité profonds. Une présentation de 2019 a montré comment les vulnérabilités des navigateurs pouvaient être utilisées pour injecter du code dans Skype, Slack, WhatsApp et d’autres applications Electron. Il a été découvert que l’application Electron de bureau de WhatsApp avait une autre vulnérabilité en 2020fournissant un accès local aux fichiers via JavaScript intégré dans les messages.

Nous avons contacté Microsoft pour commentaires et mettrons à jour ce message si nous recevons une réponse.

Vectra recommande aux développeurs, s’ils “doivent utiliser Electron pour votre application”, de stocker en toute sécurité les jetons OAuth à l’aide d’outils tels que KeyTar. Connor Peoples, architecte de la sécurité chez Vectra, a déclaré à Dark Reading qu’il pensait que Microsoft s’éloignait d’Electron et se dirigeait vers des applications Web progressives, qui offriraient une meilleure sécurité au niveau du système d’exploitation autour des cookies et du stockage.

Leave a Reply

Your email address will not be published.