Microsoft Teams : quand une faille permet d'exploiter la plate-forme collaborative... depuis un GIF !

Alors que l'application collaborative Teams de Microsoft ne s'est jamais aussi bien porté en terme de nombre d'utilisateurs actifs quotidiens (quelques 75 millions !...), cela n'empêche pas au SaaS de Redmond de continuer, malgré tout, d'essuyer des bévues sécuritaires : dernière en date, une violation-compte... depuis l'envoi d'un GIF.

 

Mise en lumière par Cyberark au 27 Avril dernier, la vulnérabilité est redoutable puisque tout comme Slack, Telegram ou Zoom (même s'il ne s'agit pas tout à fait, d'un point de vue technique, de la même nature "applicative"), l'application Teams permet de visualiser l'envoi d'un média tel que le GIF sans forcément le télécharger ce qui a été le vecteur de base malveillant de cette attaque. L'ensemble est fonctionnel grâce au fameux jeton d’authentification (token) de Ms Teams qui est détourné, vérolé puis renvoyé de la sorte vers l'individu ou groupe d'individus avec les données et / ou médias ainsi aspirés. Finalité ultime, la manipulation peut s'épandre de manière à infecter un plus grand nombre de compte dans le but de dérober voire espionner leur données ou conversations.

 

Dans les grandes lignes, la faille réside dans la construction des liens d'authentification pour ces images, les "token". Microsoft gère l'authentification-image ou média à travers deux attributs principaux. Si la mentalité sécuritaire réside belle et bien (HTTPS, notamment, pour ces liens rattachés auxdites images) il s'agit, paradoxalement, d'une faille en soit : même si la technique des liens vérolés par phishing (par exemple) est quelques peu ancienne (il y a toujours, malheureusement, des personnes qui iront cliquer sur ce type de lien sans réflexion, minime, préalable : orthographe, expéditeur, analyse du lien textuellement...), quand le lien est ainsi détourné de manière malveillante, l'attaquant n'a plus qu'à renvoyé le lien sous la forme d'un GIF. Si la victime clique dessus, cela renverra à un domaine ou sous-domaine préalablement préparé (vérolé) pour que le lien soit authentifié selon les règles mises en place par Microsoft mais au sein d'un domaine, donc, compromis, permettant ainsi d'aspirer les données.

"Microsoft a rapidement supprimé les enregistrements DNS mal configurés des deux sous-domaines qui étaient exposés et pouvaient être repris. En outre, Microsoft a déployé plus de correctifs au fil du temps et continue de développer davantage de fonctionnalités de sécurité pour éviter des failles similaires à l'avenir", est-il souligné en fin de billet... A veiller !

 

Source : Cyberark - 27 Avril 2020 - Microsoft Teams : vulnérabilité depuis un envoi (en lecture) de GIF.