Microsoft Teams stocke les jetons d’authentification en texte clair qui ne seront pas corrigés rapidement
Le client Microsoft Teams stocke les jetons d’authentification des utilisateurs dans un format texte non sécurisé, permettant potentiellement aux attaquants disposant d’un accès local de publier des messages et de se déplacer dans l’organisation même avec l’authentification à deux facteurs activée, selon la société de cybersécurité.
Vectra recommande d’éviter le client de bureau de Microsoft construit à l’aide de la plate-forme Electron pour créer des applications utilisant des technologies de navigateur jusqu’à ce que Microsoft corrige la faille. L’utilisation du client Web Teams dans un navigateur comme Microsoft Edge est, paradoxalement, plus sécurisée, affirme Vectra. Le problème signalé affecte les utilisateurs Windows, Mac et Linux.
Microsoft, pour sa part, estime que l’exploit Vectra « ne répond pas à notre barre pour un service immédiat », car d’autres vulnérabilités seraient nécessaires pour infiltrer le réseau en premier lieu. Un porte-parole a déclaré à Dark Reading que la société « examinerait la possibilité de résoudre (le problème) dans une future version du produit ».
Les chercheurs de Vectra ont découvert la vulnérabilité en aidant un client qui tentait de supprimer un compte désactivé de sa configuration Teams. Microsoft exige que les utilisateurs soient connectés pour désinstaller, donc Vectra a examiné les données de configuration du compte local. Ils avaient l’intention de supprimer les liens vers le compte connecté. Au lieu de cela, lorsqu’ils ont recherché le nom d’utilisateur dans les fichiers de l’application, ils ont trouvé des jetons qui accordent l’accès à Skype et Outlook. Chaque jeton trouvé était actif et pouvait accorder l’accès sans déclencher la vérification à deux facteurs.
Allant plus loin, ils ont créé un exploit expérimental. Leur version télécharge le moteur SQLite dans un dossier local, l’utilise pour analyser le stockage local de l’application Teams à la recherche d’un jeton d’authentification, puis envoie un message prioritaire à l’utilisateur avec le propre texte du jeton. Les conséquences potentielles de cet exploit vont bien sûr au-delà du hameçonnage de certains utilisateurs avec leurs propres tokens :
Toute personne qui installe et utilise le client Microsoft Teams dans cet état conserve les informations d’identification requises pour effectuer toute action possible via l’interface utilisateur de Teams, même lorsque Teams est fermé. Cela permet aux attaquants de modifier les fichiers SharePoint, la messagerie et les calendriers Outlook et les fichiers de discussion Teams. Encore plus dangereux, les attaquants peuvent interférer avec les communications légitimes au sein d’une organisation en détruisant, en exfiltrant ou en se lançant de manière sélective dans des attaques de phishing ciblées. À l’heure actuelle, la capacité d’un attaquant à se déplacer dans l’environnement de votre entreprise n’est pas limitée.
Vectra note que la navigation via l’accès des utilisateurs à Teams est une source particulièrement riche pour les attaques de phishing, car les attaquants peuvent se faire passer pour des PDG ou d’autres cadres et solliciter des actions et des clics d’employés de niveau inférieur. Il s’agit d’une stratégie connue sous le nom de compromission des e-mails professionnels (BEC) ; vous pouvez lire à ce sujet sur le blog Microsoft On the Issues .
Les applications Electron présentaient auparavant de graves problèmes de sécurité. Une présentation de 2019 a montré comment les vulnérabilités du navigateur peuvent être exploitées pour injecter du code dans Skype, Slack, WhatsApp et d’autres applications Electron. En 2020, une autre vulnérabilité a été découverte dans l’application de bureau WhatsApp Electron, permettant un accès local aux fichiers via JavaScript intégré dans les messages.
Nous avons contacté Microsoft pour commentaires et mettrons à jour ce message si nous obtenons une réponse.
Vectra recommande aux développeurs, s’ils « ont besoin d’utiliser Electron pour leur application », de stocker en toute sécurité les jetons OAuth à l’aide d’outils tels que KeyTar. Connor Peoples, architecte de la sécurité chez Vectra, a déclaré à Dark Reading qu’il pensait que Microsoft s’éloignait d’Electron et se dirigeait vers des applications Web progressives, qui offriront une meilleure sécurité au niveau du système d’exploitation concernant les cookies et le stockage.
Laisser un commentaire