• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

“Des jetons d’accès en texte clair” : quand l’authentification simplifiée sous Microsoft Teams dévoile une brèche sécuritaire !

Trop de sécurité ou pas assez : il n’est jamais facile de pouvoir proposer des systèmes de connexion ou d’identification qui puisse satisfaire un schéma sécuritaire fiable ou fonctionnel sur le long terme tout en permettant à l’utilisateur de ne pas trop effectuer d’étapes intermédiaires. Concernant l’application ou le logiciel Teams de Microsoft, à l’image de son eco-système “sans mot de passe” ou d’une authentification qui vise à simplifier les étapes de connexion, la stratégie de simplifier la connexion-utilisateur a été à double-tranchant : selon les révélations de Vectra, à nouveau, Teams se retrouve dans la tourmente avec une brèche sécuritaire permettant de lire en clair ou en brut, au détour de tokens (jetons d’accès), des informations personnes voire sensibles…

 

 

Microsoft stocke ces informations d’identification pour créer une expérience d’authentification unique transparente dans l’application de bureau. Cependant, la mise en œuvre de ces choix de sécurité abaisse la barre. Toute personne qui installe et utilise le client Microsoft Teams dans cet état stocke les informations d’identification nécessaires pour effectuer toute action possible via l’interface utilisateur Teams, même lorsque Teams est arrêté. Lorsque ces jetons sont volés, cela permet aux attaquants de modifier les fichiers SharePoint, la messagerie et les calendriers Outlook et les fichiers de discussion Teams. Les attaquants peuvent altérer les communications légitimes au sein d’une organisation en détruisant, en exfiltrant ou en se lançant de manière sélective dans des attaques de phishing ciblées […] ce qui nous effraie vraiment, c’est la prolifération des jetons d’utilisateur post-MFA dans un environnement – cela permet aux attaques ultérieures qui ne nécessitent pas d’autorisations spéciales supplémentaires ou de logiciels malveillants avancés de s’en tirer avec des dommages internes majeurs. Avec suffisamment de machines compromises, les attaquants peuvent orchestrer les communications au sein d’une organisation. En assumant le contrôle total des sièges critiques, comme le directeur de l’ingénierie, le PDG ou le directeur financier d’une entreprise, les attaquants peuvent convaincre les utilisateurs d’effectuer des tâches préjudiciables à l’organisation“, indiquent les chercheurs de l’équipe Vectra, le 13 Septembre 2022.

Mise en lumière, au moins, depuis Août 2022, la brèche prend racine dans l’usage de l’application Electron qui appelle certaines données du navigateur Web (cookies, sessions, log-journal) pour fonctionnaliser Teams. Problème : Electron ne supporte pas certaines options sécuritaires comme le chiffrement ou le verrouillage de dossiers-fichiers selon certains accès du répertoire ce qui permet, potentiellement, d’exploiter la stratégie de “transparence” impulsée par Microsoft, au sein de Teams. Le PoC a, ainsi, mis à nu des brèches au niveau des jetons d’accès ou d’identification (en connexion active, un résidu hors connexion de l’utilisateur…) ce qui a permis d’avoir accès à certaines APIs (Outlook, Skype, notamment) découlant de l’eco-système Microsoft 365 (ce qui suggère qu’en réalité, toute API peut être appelé dans ce sens : pas uniquement Outlook ou Skype…). La remontée ou mise à nu insécuritaire a pu se faire au détour de cookies (via SQLite) “sans nécessiter d’authentification supplémentaire“, par jeton ainsi détourné. Cela pouvait déboucher sur la modification ou la création de contenu (un envoi de message au nom du compte-utilisateur victime) voire de l’ex-filtration de données, comme évoqué un peu plus haut.

En attendant que Microsoft corrige le problème, il est recommandé d’utiliser la version Web de Teams car plus sécurisé, pour l’heure, en notant que la version Linux sera arrêtée d’ici Décembre 2022. Les chercheurs recommandent à Microsoft de pouvoir permettent aux administrateurs (tout comme sous Slack, par ailleurs) de pouvoir, enfin, supprimer les comptes inactifs. Pour les développeurs sous Teams, il est recommandé de veiller au bon stockage des jetons (OAuth), notamment en utilisant le pack KeyTar.

 

Une vulnérabilité qui intervient alors que fin Août, un autre chercheur sécuritaire nommé Bobbyr dévoilait GIFShell, une vulnérabilité également sous Microsoft Teams et qui permet d’envoyer des requêtes via serveur command-and-control au détour d’un simple GIF (vérolé, déguisé)… A veiller !

 

 

Sources :

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.14.0