Des chercheurs en sécurité informatique ont découvert quatre vulnérabilités distinctes dans Microsoft Teams. Celles-ci pourraient être exploitées par tout cybercriminel pour usurper les aperçus de liens, divulguer des adresses IP et même accéder aux services internes de la firme de Redmond.
Ces failles ont été identifiées par des chercheurs de Positive Security qui sont "tombés par hasard" dessus, alors qu'ils cherchaient un moyen de contourner la gestion des procédures standard d’exploitation (SOP) sous Teams et Electron. Pour faire concis, la SOP est un mécanisme de sécurité présent au sein des navigateurs web et qui empêche les sites internet de s'attaquer les uns aux autres.
Au cours de leur enquête, les chercheurs ont découvert qu'ils pouvaient contourner la SOP dans Teams en abusant de la fonction de prévisualisation des liens du logiciel de visioconférence de Microsoft. Ils ont en effet autorisé le client à générer un aperçu du lien pour la page cible, puis ont implémenté un texte récapitulatif ou la reconnaissance optique de caractères (ROC) sur l'image d'aperçu pour extraire des informations.
Ce qui a également permis à Fabian Bräunlein, cofondateur de Positive Security, de mettre en lumière d'autres vulnérabilités liées à Microsoft Teams.
- Télétravail : tous les outils indispensables pour travailler à distance
- Meilleurs antivirus 2021 : quelle solution choisir ?
- Vie privée : comment rester anonyme sur Internet et les réseaux sociaux ?
Des correctifs lents à déployer
Sur les quatre bugs découverts, deux peuvent être exploités depuis n'importe quel appareil et permettent la falsification de requêtes côté serveur (SSRF) ainsi que l'usurpation d'identité. Tandis que les deux autres n'affectent que les smartphones Android et peuvent être exploités pour divulguer des adresses IP et réaliser un déni de service (DOS).
En exploitant la vulnérabilité SSRF, les chercheurs ont pu faire fuir des informations du réseau local de Microsoft. Le bug d'usurpation, quant à lui, consolide l'efficacité des attaques de phishing et sert à dissimuler des liens malveillants.
Le bug DOS est particulièrement inquiétant car un hacker peut envoyer à un utilisateur un message comprenant un lien de prévisualisation avec une cible URL invalide (par exemple "boom" au lieu de "https://...") capable de faire planter l'application Teams pour Android.
Positive Security a divulgué de manière responsable ses découvertes à Microsoft en mars dernier. Jusqu’à ce jour, l’éditeur s’est contenté de corriger les fuites d'adresses IP dans Teams pour Android. Maintenant que Positive Security a rendu publiques ses découvertes, Microsoft pourrait devoir corriger les trois autres vulnérabilités, même si l’entreprise a déclaré aux chercheurs qu'elles ne représentaient pas une menace immédiate pour ses utilisateurs.
Via Threatpost
