- Les chercheurs en sécurité partagent des nouvelles concernant l'application de conférence populaire de Microsoft.
- Apparemment, Teams est toujours en proie à quatre vulnérabilités qui permettent aux attaquants de s'infiltrer.
- Deux d'entre eux peuvent être utilisés pour permettre la contrefaçon de requête côté serveur (SSRF) et l'usurpation d'identité.
- Les deux autres n'affectent que les smartphones Android et peuvent être exploités pour divulguer des adresses IP.
Nous parlions justement de Teams l'autre jour, en rapportant comment vous ne pourrez peut-être pas créer de nouveaux comptes d'organisation gratuits, et la meilleure application de conférence de Microsoft est déjà de retour sous les projecteurs.
Et bien que nous nous sentions mieux lorsque nous devons signaler des correctifs et des améliorations, ou de nouvelles fonctionnalités à venir dans Teams, nous devons également vous informer de ce risque de sécurité.
Apparemment, les chercheurs en sécurité ont découvert quatre vulnérabilités distinctes au sein des équipes, qui pourraient être exploités afin d'usurper les aperçus de liens, de divulguer des adresses IP et même d'accéder aux fichiers internes de Microsoft. prestations de service.
Quatre vulnérabilités majeures sont toujours exploitées dans la nature
Les experts de Positive Security sont tombés sur ces vulnérabilités alors qu'ils cherchaient un moyen de contourner la politique de même origine (SOP) dans Teams et Electron, selon un article de blog.
Juste au cas où vous n'êtes pas familier avec le terme, SOP est un mécanisme de sécurité trouvé dans les navigateurs qui aide à empêcher les sites Web de s'attaquer les uns les autres.
En enquêtant sur cette question sensible, les chercheurs ont découvert qu'ils pouvaient contourner le SOP dans Teams en abusant de la fonction de prévisualisation des liens de l'application.
Cela a en fait été réalisé en permettant au client de générer un aperçu du lien pour la page cible, puis en utilisant soit un texte récapitulatif, soit une reconnaissance optique de caractères (OCR) sur l'image d'aperçu pour extraire information.
De plus, ce faisant, le co-fondateur de Positive Security, Fabian Bräunlein, a également découvert d'autres vulnérabilités sans rapport dans la mise en œuvre de la fonctionnalité.
Deux des quatre bogues désagréables trouvés dans Microsoft Teams peuvent être utilisés sur n'importe quel appareil et permettent la falsification de requêtes côté serveur (SSRF) et l'usurpation d'identité.
Les deux autres n'affectent que les smartphones Android et peuvent être exploités pour divulguer des adresses IP et provoquer un déni de service (DOS).
Il va sans dire qu'en exploitant la vulnérabilité SSRF, les chercheurs ont pu divulguer des informations du réseau local de Microsoft.
Dans le même temps, le bogue d'usurpation d'identité peut être utilisé pour améliorer l'efficacité des attaques de phishing ou pour masquer des liens malveillants.
Le plus inquiétant de tous devrait certainement être le bogue DOS, car un attaquant peut envoyer à un utilisateur un message qui inclut un aperçu du lien avec une cible de lien d'aperçu non valide pour planter l'application Teams pour Android.
Malheureusement, l'application continuera à planter lorsque vous essayez d'ouvrir le chat ou le canal avec le message malveillant.
Positive Security a en effet informé Microsoft de ses conclusions le 10 mars via son programme de bug bounty. Depuis lors, le géant de la technologie n'a corrigé que la vulnérabilité de fuite d'adresse IP dans Teams pour Android.
Mais maintenant que ces informations déconcertantes sont publiques et que les conséquences de ces vulnérabilités sont assez claires, Microsoft devra intensifier son jeu et proposer des correctifs rapides et efficaces.
Avez-vous rencontré des problèmes de sécurité lors de l'utilisation de Teams? Partagez votre expérience avec nous dans la section commentaires ci-dessous.
