L’outil TeamsPhisher exploite un bug dans Microsoft Teams pour envoyer des malwares aux utilisateurs
Il y a quelques jours, un nouvel outil baptisé TeamsPhisher a été mis en ligne sur GitHub par un membre de l'équipe Red Team de l'US Navy. En utilisant cet outil, il est possible d'exploiter une faille de sécurité non résolue dans Microsoft Teams permettant d'envoyer un message et une pièce jointe, en étant utilisateur externe.
Alex Reid travaille pour l'US Navy et il a développé l'outil TeamsPhisher qui a pour objectif d'exploiter un problème de sécurité dans Microsoft Teams, précédemment découvert par Max Corbridge et Tom Ellson de l'entreprise Jumpsec. Sur GitHub, l'outil est décrit de cette façon : "TeamsPhisher est un programme en Python3 qui facilite l'envoi de messages de type phishing et de pièces jointes aux utilisateurs de Microsoft Teams dont les organisations autorisent les communications externes."
Pour atteindre cet objectif, l'outil contourne les mesures de protection du client Microsoft Teams en changeant l'identifiant dans la requête POST d'un message, de manière à ce que l'utilisateur externe soit traité comme un utilisateur interne à l'entreprise prise pour cible. Pour être plus précis sur le fonctionnement de cet outil qui semble redoutable, Alex Reid précise : "Donnez à TeamsPhisher une pièce jointe, un message et une liste d'utilisateurs Teams ciblés. Il téléchargera la pièce jointe sur le Sharepoint de l'expéditeur, puis parcourra la liste des cibles".
L'outil TeamsPhisher semble bien ficelé puisqu'il y a même un mode prévisualisation pour voir la liste des cibles et vérifier l'apparence du message avant qu'il soit envoyé aux utilisateurs sur Microsoft Teams. Pour utiliser TeamsPhisher, vous devez disposer d'un tenant Microsoft 365 et d'une licence qui donne accès à Teams et SharePoint, ce qui est le cas de la majorité des licences Microsoft 365.
Quels sont les risques ?
TeamsPhisher peut être utilisé par les équipes Red Team dans le cadre d'une mission sous contrat, mais bien sûr, les cybercriminels peuvent l'exploiter pour envoyer des messages aux utilisateurs d'une entreprise, dans le but de les piéger. Ceci est d'autant plus vrai qu'il est possible d'intégrer un lien au message ou de l'accompagner par une pièce jointe.
L'équipe de Jumpsec a déjà contacté Microsoft au sujet de cette vulnérabilité, mais Microsoft estime que la résolution de ce problème n'est pas prioritaire. Donc, pour le moment, nous ne savons pas quand sera corrigé ce problème de sécurité.
En attendant, les administrateurs de tenants Microsoft 365 peuvent limiter les risques en désactivant les communications avec les tenants externes ou en définissant une liste de noms de domaine de confiance. Toutefois, la mise en œuvre de ces mesures est loin d'être envisageable pour de nombreuses entreprises.