Le client Teams de Microsoft stocke les codes d’authentification des utilisateurs dans un format texte non protégé, ce qui pourrait permettre aux attaquants disposant d’un accès local de diffuser des messages et de se déplacer horizontalement dans l’organisation, même avec l’authentification à deux facteurs activée, selon la société de cybersécurité.
Vectra recommande d’éviter le client de bureau de Microsoft, qui est construit avec le framework Electron pour créer des applications à partir de technologies de navigateur, jusqu’à ce que Microsoft corrige le bogue. L’utilisation du client Teams basé sur le Web dans un navigateur comme Microsoft Edge est, dans une certaine mesure, plus sécurisée, affirme Vectra. Le problème signalé affecte les utilisateurs Windows, Mac et Linux.
Pour sa part, Microsoft estime que l’exploit Vectra « ne répond pas à nos critères pour les services en ligne » car il nécessiterait d’autres vulnérabilités pour pénétrer à l’intérieur du réseau en premier lieu. Un porte-parole de Dark Reading a déclaré que la société « envisagera de résoudre (le problème) dans une future version du produit ».
Chercheurs chez Vectra Découvrez la vulnérabilité tout en aidant un client essayant de supprimer un compte désactivé de sa configuration Teams. Microsoft exige que les utilisateurs se connectent pour être supprimés, c’est pourquoi Vectra a examiné les données de configuration du compte local. Ils ont procédé à la suppression des références au compte connecté. Ce qu’ils ont trouvé à la place, en recherchant le nom d’utilisateur dans les fichiers de l’application, ce sont des icônes, qui sont évidentes, donnant accès à Skype et Outlook. Chaque jeton trouvé était actif et pouvait accorder l’accès sans contester deux facteurs.
À l’avenir, ils ont conçu un exploit de preuve de concept. Leur version télécharge le moteur SQLite dans un dossier local, l’utilise pour analyser le stockage local Teams pour le jeton d’authentification, puis envoie à l’utilisateur un message de haute priorité avec son texte de jeton. Les conséquences potentielles de cet exploit sont plus importantes que le hameçonnage de certains utilisateurs avec leurs codes privés, bien sûr :
Dans ce cas, toute personne qui installe et utilise le client Microsoft Teams stocke les informations d’identification nécessaires pour effectuer toute action possible via l’interface utilisateur de Teams, même lorsque Teams est désactivé. Cela permet aux attaquants de modifier les fichiers SharePoint, la messagerie Outlook, les calendriers et les fichiers de discussion Teams. Encore plus dommageable, les attaquants peuvent altérer les communications légitimes au sein d’une organisation en détruisant, en passant en contrebande ou en se livrant à des attaques de phishing ciblées de manière sélective. Il n’y a pas de limite à la capacité d’un attaquant à naviguer dans votre environnement d’entreprise à ce stade.
Vectra note que la navigation via l’accès des utilisateurs à Teams est un avantage particulièrement riche pour les attaques de phishing, où des acteurs malveillants peuvent se faire passer pour des PDG ou d’autres PDG et rechercher des actions et des clics d’employés de niveau inférieur. Il s’agit d’une stratégie connue sous le nom de Business Email Compromise (BEC) ; Vous pouvez lire à ce sujet Sur le blog Microsoft Sur les problèmes.
Il a déjà été découvert que les applications Electron présentaient de graves problèmes de sécurité. La présentation de 2019 a montré comment les vulnérabilités du navigateur peuvent être utilisées Injection de code dans Skype, Slack, WhatsApp et autres applications Electron. L’application WhatsApp de bureau Electron a été trouvée Une autre échappatoire en 2020qui permet d’accéder aux fichiers locaux via JavaScript intégré dans les messages.
Nous avons contacté Microsoft pour commentaires et mettrons à jour ce message si nous recevons une réponse.
Vectra recommande aux développeurs, s’ils « doivent utiliser Electron pour votre application », de stocker les jetons OAuth en toute sécurité à l’aide d’outils tels que KeyTar. Connor Peoples, ingénieur en sécurité chez Vectra, a déclaré à Dark Reading qu’il pensait que Microsoft s’éloignait d’Electron et se dirigeait vers des applications Web progressives, qui offriront une meilleure sécurité au niveau du système d’exploitation autour des cookies et du stockage.