Une faille de sécurité permettait de dérober les données des utilisateurs de Microsoft Teams. Les chercheurs de CyberArk sont parvenus à créer un GIF maléfique capable de compromettre un compte juste en étant visionné…
Au fil des dernières semaines, dans le contexte du confinement, les logiciels de vidéoconférence ont rencontré un important gain de popularité. Ces outils permettent aux entreprises de continuer à se réunir à distance en télétravail.
Cependant, cette croissance express ne s’est pas faite sans difficulté pour les entreprises qui développent ces logiciels. Ainsi, Zoom a fait l’objet de plusieurs polémiques notamment pour avoir transmis les données des utilisateurs à Facebook, puis à des serveurs basés en Chine.
Depuis lors, Zoom a pris des mesures pour régler ses problèmes. Toutefois, les plateformes concurrentes ont elles aussi des failles et des faiblesses…
Des chercheurs en cybersécurité de CyberArk viennent de découvrir une vulnérabilité dans l’outil de visioconférence Teams de Microsoft. Durant au moins trois semaines, de la fin du mois de février au milieu du mois de mars, les hackers pouvaient exploiter une faille pour dérober les données des utilisateurs à partir de leurs comptes sur l’application.
Il était même possible de prendre le contrôle de tous les comptes Microsoft Teams d’une entreprise. Cette faille était présente à la fois sur la version desktop et sur la version web de Teams.
Le problème était lié à la façon dont Microsoft gérait les tokens d’authentification, ces fichiers servant à prouver que l’utilisateur cherchant à accéder à un compte Teams est légitime. Les tokens étaient pris en charge sur un serveur localisé à l’adresse teams.microsoft.com ou n’importe quel sous-domaine sous cette adresse.
Microsoft Teams : la faille de sécurité permettait de pirater toute une entreprise
Sans trop de difficulté, les chercheurs de CyberArk sont parvenus à détourner deux sous-domaines : aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com. Ils ont découvert que si un hacker pouvait forcer une cible à visiter un sous-domaine détourné, les tokens d’authentification pouvaient être transférés au serveur de l’attaquant. Il était ensuite possible de créer un autre token pour accéder aux données du compte Teams de la victime.
Pour amener la victime à visiter le sous-domaine compromis, le hacker pouvait utiliser une attaque de type phishing. Cependant, les chercheurs ont préféré faire dans l’originalité en créant un GIF Donald Duck » maléfique « .
Il suffit que la victime visionne ce GIF pour abandonner son token d’authentification et donc ses données. Pour cause, la source du GIF est le sous-domaine compromis et Teams le contacte automatiquement pour afficher l’image.
Les hackers auraient même pu créer un malware de type » worm » capable de se propager d’un utilisateur à l’autre pour affecter un maximum de personnes de façon rapide.
Fort heureusement, cette vulnérabilité a été corrigée par un patch le 20 avril 2020 avant qu’un hacker ne l’exploite. Les utilisateurs sont donc à l’abri, mais ceci démontre que toutes les plateformes de visioconférence risquent d’être prises pour cible par les cybercriminels pendant le confinement…
https://www.youtube.com/watch?v=Qh7Scp0P2tY
- Partager l'article :