Actualités

Microsoft Teams : 4 vulnérabilités signalées depuis le 10 Mars 2021… 1 seule colmatée !

Alors que le CES 2022 bat son plein technologique et que les fabricants rivalisent d’ingéniosité – pour ne pas dire, parfois, d’originalité, notamment dans le domaine de la cuisine ou encore de la robotique, en passant par l’univers automobile résolument imprégné du metaverse pour des finalités utilitaires : les détails de ces folies technologiques seront publiés d’ici quelques jours ! – l’année 2022 ne commence, malheureusement pour la partie sécuritaire, pas sous la bienveillance ; voire depuis Mars 2021 : en effet, des chercheurs de l’équipe Positive Security ont publié, depuis le 22 Décembre 2021, la mise en lumière de 4 vulnérabilités relatives à Teams. Assez importantes (suivant le cas : pour ne pas dire critiques), elles ont été signalées à Microsoft dès le 10 mars 2021 qui, pour l’heure, n’en a comblé qu’une.

 

 

Un moyen potentiel de contourner le SOP dans Teams et de récupérer l’UUID à partir de JavaScript consiste à abuser de la fonctionnalité d’aperçu du lien […) Dans Teams, cet aperçu est en fait généré côté serveur par Microsoft (ce qui est possible en raison de l’absence de cryptage E2E), de sorte que la fonctionnalité ne peut pas être utilisée abusivement pour divulguer des informations du réseau local de l’utilisateur (par exemple, le serveur de débogage Node.js)“, indique l’un des chercheurs à l’origine de la découverte, Fabian Bräunlein, qui révèle ainsi, au passage, avoir découverts d’autres vulnérabilités, “sans rapport” avec le soucis levé initialement, relatif au contournement de SOPs.

Condensé des vulnérabilités ainsi mises à nues dans Teams :

 

  • SSRF (Server-Side Request Forgery) : injection de requêtes HTTPs depuis le réseau local de Microsoft (aspiration-données) via un point de terminaison non-protégé. Les ports internes sont alors analysables pour envoyer les requêtes HTTPs ;

 

  • Spoofing (Usurpation d’identité ou de contenu, comme une IP, par exemple) : le lien d’aperçu (preview link) peut être tronqué “indépendamment” du lien légitime et de ses champs assimilés (image, descriptif, nom-hôte, texte on-hover). La victime active la supercherie en cliquant sur le lien frauduleux et l’ensemble renvoie à une page autre que celle originellement attendue par lien, ce qui peut être potentiellement utilisé, est-il souligné, pour une attaque de type hameçonnage (phishing), notamment. Lors de chat en direct, un spoofing par identité (nom-hôte) peut s’opérer via la modification d’un lien déjà envoyé en conversation pour une re-direction biaisée de ce dernier. Enfin, un exploit supplémentaire est possible depuis le nom-hôte TLD dans la version Bureau-Web, ce qui permet d’intensifier le spoofing identitaire. En aparté, un parallèle est évoqué (en exploit) avec la vulnérabilité relative à WinSCP (désormais comblée : v5.17.10) en 2021 (CVE-2021-3331) : le chercheur note ainsi que la brèche ainsi comblée aurait dû éviter de voir une reproduction similaire en cyber-attaque au sein de Microsoft Teams. Il est fortement recommandé à l’équipe de développement de Microsoft de supprimer “le schéma URI ftps://” en permission (valide) depuis la liste allowHrefProtocols ;

 

  • [CORRIGE] Aspiration de données (IPs, sous Android) : toujours depuis l’aperçu-lien, une interception de la vignette découlant du lien d’aperçu (transit de l’information entre le back-end vers le domaine Microsoft) est potentiellement possible en récupérant l’URL de cette vignette : une re-direction peut alors s’opérer vers un domaine autre que celui de Microsoft. La manœuvre est facilitée, confirme le chercheur, du fait qu’Android n’intègre aucun protocole de vérification (CSP) pour vérifier le domaine ou l’origine de ce dernier (tout est accepté en flux-transit…) ;

 

  • DoS (Denial of Service, sous Android) : une attaque par déni de service peut s’appliquer par un individu malveillant en exploitant un lien – d’aperçu – cible non valide (en lieu de l’HTTPS:// traditionnel, une re-direction vers un autre domaine, une autre adresse IP ou URL), ce qui provoque un crash ou plantage de l’application Teams sous Android, avec une impossibilité d’ouvrir la conversation-chat-chaînes via ce lien vérolé.

 

 

Le billet sécuritaire fait état de nombreux retours de message de Microsoft, depuis le 10 Mars 2021 : mise à part la vulnérabilité Android (aspiration de données), les autres tickets-support ouvert par les chercheurs ont été clos par l’éditeur avec, à chaque fois, un mot pour expliquer en quoi il ne serait pas nécessaire de prodiguer un patch sécuritaire sur les trois autres vulnérabilités qui seront donc définitivement laissées en l’état… A veiller !

 

 

Source : blog Positive Security – 22 Décembre 2021 – Microsoft Teams : 4 vulnérabilités découvertes (1 seule corrigée).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0