Un "GIF malveillant" à l'origine d'une faille de sécurité dans Microsoft Teams

28 avril 2020 à 17h51
0
visioconference Teams ©© shutterstock

La société CyberArk a découvert une faille de sécurité qui aurait touché les versions web et bureau de Teams sur la période de fin février à mi-mars.

Depuis le début du confinement, plusieurs outils se concurrencent sur le secteur de la collaboration en ligne et de la visioconférence. Ces dernières semaines, ZOOM, l'un de ces outils, a déjà été pointé du doigt suite à la découverte de nombreuses failles de sécurité responsables du vol de données de centaines de milliers d'utilisateurs de la plateforme.

Aujourd'hui, c'est Microsoft Teams, une autre grosse plateforme de collaboration en ligne, qui aurait été prise pour cible par des utilisateurs malveillants.

Un simple GIF à l'origine de la faille

Le coupable serait un GIF auquel aurait été intégré un lien malveillant similaire aux liens de phishing, à la différence que ces derniers requièrent un clic de l'utilisateur pour s'ouvrir. Ici, la simple vue du GIF « infecté » permettait la récupération des identifiants Teams de l'utilisateur.

Et pour cause, la gestion des tokens d'authentification (ou jetons d'accès, soit ce qui regroupe les informations d'identification des utilisateurs et leur permet d'avoir accès aux images envoyées sur un groupe de conversation auquel ils appartiennent) est opérée par Microsoft Teams via le domaine teams.microsoft.com et des sous-domaines découlant de cette adresse.

Or, CyberArk a mis au jour deux sous-domaines compromis de Teams
(aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com) : le GIF n'avait alors qu'à être hébergé sur l'un de ces deux sous-domaines pour que les hackers puissent s'en servir comme point d'entrée dans le système d'une organisation.

En effet, teams.microsoft.com et tous ses sous-domaines servant à la gestion des tokens d'authentification, en compromettre un signifie avoir accès aux logins de chaque utilisateur qui y accède.

gif evil

Pour faire une démonstration de l'exploitation de la faille, CyberArk a utilisé un GIF de Donald Duck, facilement identifiable par les utilisateurs.

La société spécialisée en cyber-sécurité estime en effet que les hackers auraient pu créer une réaction en chaîne pour qu'un utilisateur touché par la faille en « infecte » un autre. Ainsi, chaque utilisateur d'une organisation aurait pu être le point de départ de la faille.

Quel impact pour les utilisateurs de Teams ?

Selon CyberArk, il est difficile d'identifier la quantité et la nature des données compromises. Il pourrait s'agir de mots de passe ou encore d'informations confidentielles au sujet de l'organisation. La faille a été signalée à Microsoft le 23 mars, et l'entreprise a corrigé le jour-même les enregistrements DNS mal configurés des deux sous-domaines responsables.

Microsoft a par ailleurs déclaré ne pas avoir détecté d'utilisation de la faille sur son service de collaboration mais travaille pour s'assurer qu'aucun « exploit » similaire ne soit possible à l'avenir. Quoi qu'il en soit, la découverte de cette faille arrive mal avec le lancement tout récent de Microsoft 365.

Source : Forbes

Modifié le 04/05/2020 à 18h17
3
4
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Contenus racistes et haineux : LEGO retire à son tour ses publicités des réseaux sociaux
LDLC : l'e-commerçant high tech Lyonnais annonce officiellement la semaine de 32 heures dès 2021
Malgré le coronavirus, Tesla sauve les meubles au second trimestre 2020 avec plus de 90 000 livraisons
53 millions de tonnes de déchets électroniques en 2019, un record pas très glorieux
Windows : le futur design du menu démarrer montre ses variantes
Airbus officialise la suppression de 5 000 emplois en France, 15 000 au total
Les jeux PS5 et Xbox Series X plus onéreux que sur les consoles actuelles ?
PlayStation suspend temporairement ses publicités sur Facebook et Instagram
5G : à Singapour, Ericsson et Nokia sont préférés à Huawei, encore...
Crysis Remastered revient en vidéo et annonce déjà son report
scroll top