Envoyer un GIF suffisait pour pirater n’importe quel utilisateur de Teams



Parmi les services de communication, il n’y a pas que Zoom qui a des problèmes de sécurité. La solution Teams de Microsoft souffrait également d’une faille particulièrement néfaste. Découverte par Omer Tsarfati, chercheur en sécurité chez CyberArk, cette vulnérabilité permettait d’accéder à n’importe quel compte d’utilisateur et copier l’ensemble de ses messages.

La faille résidait d’une part dans une mauvaise gestion des tokens d’accès pour les images, et d’autre part dans l’existence de sous-domaines Microsoft mal configurés dont il était possible de prendre le contrôle. En combinant ces deux aspects, il suffisait qu’un pirate crée une image sur l’un de ces sous-domaines — un GIF rigolo par exemple — et qu’il l’envoie à un utilisateur de Teams. Au moment où il visionne cette image, ses tokens d’accès sont réceptionnés sur les serveurs du pirate, ni vu ni connu. Avec ces tokens, le pirate peut ensuite accéder à l’ensemble du contenu Teams de la victime. Il peut également usurper son identité.

CyberArk a alerté Microsoft le 23 mars dernier. L’éditeur a corrigé la configuration des sous-domaines vulnérables le jour même. Par la suite, des patchs ont également été installés au niveau du service Teams.





Source link

Actu à voir aussi ...  Réaliser un coffrage cache tuyau en 12 étapes