Un "GIF malveillant" à l'origine d'une faille de sécurité dans Microsoft Teams

28 avril 2020 à 17h51
3
visioconference Teams © © shutterstock

La société CyberArk a découvert une faille de sécurité qui aurait touché les versions web et bureau de Teams sur la période de fin février à mi-mars.

Depuis le début du confinement, plusieurs outils se concurrencent sur le secteur de la collaboration en ligne et de la visioconférence . Ces dernières semaines, ZOOM , l'un de ces outils, a déjà été pointé du doigt suite à la découverte de nombreuses failles de sécurité responsables du vol de données de centaines de milliers d'utilisateurs de la plateforme.

Aujourd'hui, c'est Microsoft Teams, une autre grosse plateforme de collaboration en ligne, qui aurait été prise pour cible par des utilisateurs malveillants.

Un simple GIF à l'origine de la faille

Le coupable serait un GIF auquel aurait été intégré un lien malveillant similaire aux liens de phishing, à la différence que ces derniers requièrent un clic de l'utilisateur pour s'ouvrir. Ici, la simple vue du GIF « infecté » permettait la récupération des identifiants Teams de l'utilisateur.

Et pour cause, la gestion des tokens d'authentification (ou jetons d'accès, soit ce qui regroupe les informations d'identification des utilisateurs et leur permet d'avoir accès aux images envoyées sur un groupe de conversation auquel ils appartiennent) est opérée par Microsoft Teams via le domaine teams.microsoft.com et des sous-domaines découlant de cette adresse.

Or, CyberArk a mis au jour deux sous-domaines compromis de Teams
(aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com) : le GIF n'avait alors qu'à être hébergé sur l'un de ces deux sous-domaines pour que les hackers puissent s'en servir comme point d'entrée dans le système d'une organisation.

En effet, teams.microsoft.com et tous ses sous-domaines servant à la gestion des tokens d'authentification, en compromettre un signifie avoir accès aux logins de chaque utilisateur qui y accède.

gif evil

Pour faire une démonstration de l'exploitation de la faille, CyberArk a utilisé un GIF de Donald Duck, facilement identifiable par les utilisateurs.

La société spécialisée en cyber-sécurité estime en effet que les hackers auraient pu créer une réaction en chaîne pour qu'un utilisateur touché par la faille en « infecte » un autre. Ainsi, chaque utilisateur d'une organisation aurait pu être le point de départ de la faille.

Quel impact pour les utilisateurs de Teams ?

Selon CyberArk, il est difficile d'identifier la quantité et la nature des données compromises. Il pourrait s'agir de mots de passe ou encore d'informations confidentielles au sujet de l'organisation. La faille a été signalée à Microsoft le 23 mars, et l'entreprise a corrigé le jour-même les enregistrements DNS mal configurés des deux sous-domaines responsables.

Microsoft a par ailleurs déclaré ne pas avoir détecté d'utilisation de la faille sur son service de collaboration mais travaille pour s'assurer qu'aucun « exploit » similaire ne soit possible à l'avenir. Quoi qu'il en soit, la découverte de cette faille arrive mal avec le lancement tout récent de Microsoft 365.

Source : Forbes

Modifié le 04/05/2020 à 18h17
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
PandaBoy
’ Sur la période de fin février à mi-mai. ’<br /> On est dans le futur ou c’est une faute de frappe ? x)
TNZ
Office 3615 à vrai dire …
alain_du_lac
Quel rapport avec le lancement d’Office 365? Aucun …<br /> De plus la faille est corrigée le jour même.<br /> Comme d’habitude, beaucoup de buzz pour rien, mais il faut bien faire marcher les clics pour les recettes de pub, n’est-ce pas ?
Voir tous les messages sur le forum

Actualités du moment

Forfait mobile : RED joue les prolongations sur l'offre 60Go à 12€
WhatsApp : le nombre de participants à un appel visio relevé à 8
Audi lance la version hybride rechargeable de son break A6 Avant
Stadia : Google dévoile les prochains jeux du service
Amazon Prime Video étend son offre en France avec le lancement d'un service de VoD
Volvo se met à la vente en ligne de ses véhicules
AMD supportera la DDR5, la LPDDR5 et le PCI-Express gen 5.0 d'ici... 2022
Withings présente Sleep Analyzer, un dispositif médical grand public pour détecter l'apnée du sommeil
Oculus
COVID-19 : UPS et CVS utiliseront bientôt des drones pour livrer des médicaments
Haut de page