Il était possible de pirater Microsoft Teams avec un simple GIF

Publié le

Des chercheurs en cybersécurité ont récemment trouvé une faille dans Microsoft Teams. Cette vulnérabilité permettait de prendre le contrôle des comptes utilisateurs avec un simple GIF envoyé dans une discussion. Elle pouvait entrainer le vol des conversations et des fils de discussions ainsi que l’accès simultané à plusieurs comptes.

Pirater Teams avec un GIF

Cette vulnérabilité a été découverte par des chercheurs de l’entreprise CyberArk. Dans un billet de blog, les spécialistes dévoilent les caractéristiques précises de cette faille. Il s’agit d’un problème lié à l’authentification nécessaire pour l’envoi et la réception des images. En ce qui concerne l’aspect technique, il faut savoir que l’authentification des messages dans Teams repose sur deux éléments : Authtoken et Skypetoken.

Authtoken se charge de l’authentification des utilisateurs qui téléchargent les images sur Teams, tandis que Skypetoken traite des requêtes auprès des serveurs comme la lecture ou l’envoi de messages.

CyberArk indique qu’un cybercriminel possédant ces deux éléments pourrait passer des appels en utilisant l’API de Teams et prendre le contrôle total de comptes Teams. En effet, cette faille permet de lire/envoyer des messages, de créer des groupes de discussions, de modifier des autorisations ou encore d’ajouter/supprimer des utilisateurs.

Pirater Teams avec un GIF
Crédit : CyberArk

Cela ne fonctionne que si l’attaquant utilise un sous domaine “teams.microsoft.com”. Sur le blog de CyberArk, les chercheurs expliquent comment menerl’attaque :

Si un attaquant peut d’une manière ou d’une autre forcer un utilisateur à visiter les sous-domaines qui ont été pris en charge, le navigateur de la victime enverra ce cookie au serveur de l’attaquant, et ce dernier (après avoir reçu le token d’authentification) pourra créer un token skype. Après avoir fait tout cela, l’attaquant peut voler les données du compte Teams de la victime.

CyberArk

En clair, l’attaquant doit simplement envoyer un leurre à sa cible (le GIF) pour initier une tentative de téléchargement et l’envoi des éléments requis (Authtoken) au sous-domaine compromis. Il pourra ensuite prendre le contrôle du compte de la victime en générant le Skypetoken décrit plus haut.

Le plus effrayant dans cette attaque, c’est qu’elle est “invisible”. Pour la victime, il s’agit d’un simple GIF. En réalité le téléchargement de ce GIF permet de faire entrer le loup dans la bergerie.

Microsoft a corrigé la faille

Les chercheurs de CyberArk ont démontré qu’il était possible d’obtenir les conversations de la victime à son insu en utilisant un script dédié. Alertée, Microsoft a corrigé la faille qui affectait les versions web et bureau de Teams. Le géant a supprimé les enregistrement DNS mal configurés permettant de prendre le contrôle des sous-domaines Teams. La firme de Redmond poursuit également de déploiement d’autres actions pour éviter d’autre vulnérabilité de ce type.

Source : CyberArk via Bleeping Computer

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet