fbpx

Les données des équipes Microsoft de toute votre entreprise auraient pu être volées avec un «mal GIF»

Les géants de la technologie se battent pour devenir l’ outil de vidéoconférence de facto pour les télétravailleurs à l’époque de COVID-19. Le zoom a rapidement atteint le sommet , mais grâce à divers problèmes de sécurité et de confidentialité , il a été repoussé par les concurrents. Mais les concurrents ont aussi leurs défauts, comme en témoigne une faiblesse découverte dans les équipes de Microsoft de collaboration et d’outils de vidéoconférence, comme l’a révélé lundi.

Pendant au moins trois semaines entre la fin février et la mi-mars, un GIF malveillant pourrait avoir volé des données utilisateur sur des comptes Microsoft Teams, peut-être dans toute une entreprise, et avoir pris le contrôle de «la liste complète des comptes Teams d’une organisation», la cybersécurité. les chercheurs ont mis en garde.

La vulnérabilité pertinente a été corrigée le 20 avril, ce qui signifie que les utilisateurs sont désormais à l’abri de cette attaque spécifique. Mais cela montre que ce n’est pas seulement Zoom qui est vulnérable à des vulnérabilités potentiellement cataclysmiques. D’autres outils de visioconférence qui sont devenus extrêmement populaires parmi les populations dans le cadre de l’isolement COVID-19 peuvent et seront également ciblés.

Quel est ce mal GIF?

La vulnérabilité affectait chaque version de Microsoft Teams pour ordinateur de bureau et navigateur Web. Le problème résidait dans la façon dont Microsoft traitait les jetons d’authentification pour afficher les images dans Teams. Considérez ces jetons comme des fichiers qui prouvent qu’un utilisateur légitime accède au compte Teams. Ces jetons sont gérés par Microsoft sur son serveur situé à teams.microsoft.com ou tout sous-domaine sous cette adresse. CyberArk a découvert qu’il était possible de détourner deux de ces sous-domaines –  aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com – dans le cadre d’une attaque.

Ils ont découvert que si un pirate pouvait forcer une cible à visiter les sous-domaines piratés, les jetons d’authentification pourraient être transmis au serveur de l’attaquant. Ils pouvaient ensuite créer un autre jeton – le jeton «skype» – qui leur permettait de voler les données du compte Teams de la victime.

La manière évidente de convaincre un utilisateur de visiter les sous-domaines compromis serait via une attaque de phishing classique, où le pirate enverrait un lien à une cible et essaierait de le faire cliquer dessus. Mais les chercheurs de CyberArk ont ​​jugé cela trop évident, créant ainsi un GIF Donald Duck «diabolique» qui, en le visualisant simplement, forcerait le compte Teams de la victime à renoncer à son jeton d’authentification et donc à ses données. En effet, la source du GIF était un sous-domaine compromis et les équipes les contacteront automatiquement pour afficher l’image.

CyberArk a déclaré que les pirates auraient pu abuser de la faiblesse pour créer un ver, où l’attaque se propage d’un utilisateur à l’autre pour frapper un grand nombre de personnes en peu de temps. «Le fait que la victime ait seulement besoin de voir le message spécialement conçu pour être impacté est un cauchemar du point de vue de la sécurité. Chaque compte qui aurait pu être impacté par cette vulnérabilité aurait également pu être un point de diffusion pour tous les autres comptes de l’entreprise », ont écrit les chercheurs dans un rapport remis à Forbes avant sa publication.

Quel est l’impact?

L’impact aurait pu être grave, mais rien n’indique qu’un pirate malveillant ait exploité la vulnérabilité.

«Finalement, l’attaquant pourrait accéder à toutes les données des comptes des équipes de votre organisation, en collectant des informations confidentielles, des données concurrentielles, des secrets, des mots de passe, des informations privées, des plans d’affaires», a écrit CyberArk.

«Peut-être encore plus dérangeant, ils pourraient également exploiter cette vulnérabilité pour envoyer de fausses informations aux employés – usurpant l’identité du leadership le plus fiable d’une entreprise – entraînant des dommages financiers, de la confusion, des fuites directes de données, etc.»

Que fait Microsoft?

La vulnérabilité a été corrigée le 20 avril, bien que Microsoft ait pris des mesures plus tôt le 23 mars pour s’assurer que les sous-domaines vulnérables ne pouvaient pas être piratés. C’était le même jour que CyberArk a informé le géant de la technologie de ce qu’il avait trouvé.

Omer Tsarfati, chercheur à CyberArk Labs, a déclaré à Forbes qu’il n’était pas clair depuis combien de temps le bug était resté dans Microsoft Teams. Il a déclaré que les sous-domaines vulnérables étaient susceptibles d’être repris depuis le 27 février de cette année, ce qui signifie que les faiblesses remontaient à au moins trois semaines.

Mais il a félicité Microsoft d’avoir réagi «très rapidement», notant que les utilisateurs n’avaient rien à faire, car la faille avait été corrigée pour eux.

Comme avec Zoom, Microsoft a agi rapidement pour résoudre les problèmes affectant la population de plus en plus importante de travailleurs à distance. Bien que les vulnérabilités affectent toujours ces outils.