L’application Microsoft Teams stocke les jetons d’authentification en clair sur Windows, Linux et macOS !
Une vulnérabilité importante affecte l'application desktop de Microsoft Teams et elle permet à un attaquant d'accéder aux jetons d'authentification des utilisateurs ! Avec ce jeton, il peut se réauthentifier avec le même compte sur une autre machine.
En quelques années, Microsoft Teams est devenu une solution collaborative incontournable, et aujourd'hui elle compte plus de 270 millions d'utilisateurs !
La nouvelle faille de sécurité affecte l'application Microsoft Teams que l'on installe sur son ordinateur afin d'éviter d'utiliser la version Web, et elle concerne les applications pour Windows, Linux et macOS ! Il s'avère que Teams stocke le jeton d'authentification de l'utilisateur en clair sur le disque (un fichier ldb) et sans protéger l'accès à cette information sensible. Un attaquant ayant un accès à une machine où Teams est installé et connecté à un compte utilisateur peut dérober le jeton d'authentification afin de réauthentifier avec le compte de l'utilisateur, y compris s'il est protégé par du MFA !
Comme le précise Connor Peoples de chez Vectra : "Cette attaque ne nécessite pas d'autorisations spéciales ou de logiciels malveillants avancés pour effectuer des dommages importants". En effet, on peut imaginer que si l'attaquant récupère le jeton d'authentification du compte du Directeur Général de l'entreprise, il peut effectuer des actions préjudiciables pour l'entreprise, voire même convaincre les utilisateurs d'effectuer certaines actions au nom du Grand Patron.
Microsoft Teams est une application basée sur le framework Electron (comme beaucoup d'autres versions desktop d'applications populaires) et cette application supporte les mêmes fonctions que lors de l'utilisation en mode navigateur : cookies, sessions, logs, etc. Le problème, c'est que Electron ne prend pas en charge le chiffrement ou la protection de fichiers par défaut, et que cela implique des travaux importants pour corriger ces deux lacunes. Sur des applications aussi populaires, et donc critiques, on aimerait pourtant que ce soit fait.
En analysant le fonctionnement de Teams, les chercheurs de chez Vecta ont découvert que le dossier "Cookies" contenait des jetons d'authentification valides, ainsi que des informations sur les comptes, des données de session et des balises marketing. C'est particulièrement dangereux, car les logiciels malveillants qui volent des informations, notamment dans les navigateurs, sont de plus en plus fréquents. Comme je le disais précédemment, en volant ces données, un attaquant peut se réauthentifier avec le compte de l'utilisateur sur une autre machine.
Comment se protéger contre le vol de jeton d'authentification ?
Les chercheurs de Vectra ont découvert ce problème de sécurité en août 2022 et l'ont signalé à Microsoft. Toutefois, Microsoft ne semble pas d'accord sur le niveau de gravité de cette faille de sécurité, et pour le moment cette vulnérabilité n'est pas corrigée, mais ce serait au programme dans une prochaine version de Teams. L'entreprise américaine estime que ce n'est pas urgent, car pour exploiter cette vulnérabilité, l'attaquant doit déjà accéder à la machine cible d'une autre manière. Cette réponse de Microsoft me rappelle une autre technique d'attaque nommée GIFShell, évoquée la semaine dernière.
Vectra recommande aux utilisateurs de ne plus utiliser l'application desktop de Teams, mais d'utiliser la version Web de Teams, par exemple avec Microsoft Edge. C'est suffisant pour se protéger contre le vol de jeton d'authentification. Sinon, il convient de surveiller les processus qui accèdent à ces éléments :
- [Windows] %AppData%\Microsoft\Teams\Cookies
- [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
- [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
- [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
- [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
- [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb
Affaire à suivre...