Faille – Teams : un GIF malveillant peut récupérer vos identifiants !
Les chercheurs en sécurité de chez CyberArk ont découvert une vulnérabilité dans l'outil collaboratif Microsoft Teams, touchant à la fois la version web et le client lourd.
Alors que l'on parle beaucoup des problèmes de sécurité de l'outil Zoom, l'outil de Microsoft fait également parler de lui à ce sujet, dans une moindre mesure. Rappelons, que plus de 500 000 comptes Zoom étaient à vendre sur le Dark Web.
A l'origine de cette faille de sécurité : un GIF dans lequel un lien malveillant serait intégré. Sur le même principe que la diffusion d'un lien de phishing en fait, sauf qu'ici il n'est pas nécessaire de cliquer sur le lien pour l'ouvrir : si vous regardez l'animation du GIF, cela est suffisant pour que l'attaquant récupère vos identifiants Teams via le jeton d'authentification et accède à vos messages.
Comment est-ce possible ? Microsoft Teams s'appuie sur le domaine teams.microsoft.com (et ses sous-domaines) pour gérer les jetons d'authentification afin d'accéder l'application (JSON Web Token). Cependant, CyberArk a découvert qu'il y avait deux sous-domaines compromis : aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com. Si le GIF était hébergé sur l'un de ces deux domaines, la faille de sécurité devenait exploitable.
CyberArk estime qu'il est difficile d'estimer la quantité de données compromises et la nature de ces données. Quoi qu'il en soit, Microsoft est au courant depuis le 23 mars de l’existence de cette faille de sécurité. Le jour même, il y a eu une correction apportée directement au niveau des enregistrements DNS.
Lorsque le GIF malveillant est envoyé au sein d'une conversation de groupe, la collecte d'informations peu rapidement devenir conséquente. Le tout sans que les utilisateurs s'en aperçoivent.
Une question se pose : Doit-on faire le tri dans les fonctionnalités de Teams et désactiver l'utilisation des GIFs via le Centre d'administration Office 365 ?
? Retrouvez nos tutoriels Teams