Microsoft a laissé subsister quatre vulnérabilités dans Teams depuis Mars
Teams, l’application de communication collaborative de Microsoft, fait face à de sérieux problèmes de sécurité depuis le début d’année.
En effet, des analystes de Positive Security ont découvert quatre vulnérabilités dans Microsoft Teams que n’importe quel cybercriminel aurait pu exploiter. En usurpant les liens de prévisualisation, divulguant les adresses IP des utilisateurs Android mais aussi en accédant aux services internes de l’entreprise utilisatrice ou encore en lançant une attaque DoS.
Comment ? Les analystes ont découvert ces vulnérabilités par hasard alors qu'ils cherchaient un moyen de contourner la gestion des procédures standard d’exploitation (SOP) sous Teams et Electron. Le moyen était d'abuser de la fonction de prévisualisation des liens en laissant le client générer un aperçu du lien pour la page cible, puis en utilisant le texte du résumé ou en effectuant une reconnaissance optique de caractères (OCR) sur l'image de prévisualisation pour extraire des informations. Cela a donc permis à Fabian Bräunlein, fondateur de Positive Security, de découvrir des vulnérabilités liées à Teams.
Quelles sont ces quatre vulnérabilités ? Sur les quatre bugs qui ont été découverts, deux d’entre eux peuvent être exploités depuis n’importe quel appareil et permettent la falsification de requêtes côté serveur (SSRF) et l’usurpation d’identité. Quant aux deux autres, ils affectent uniquement les smartphones Android et peuvent être exploités pour divulguer des adresses IP et réaliser un déni de service (DoS).
Le bug de type DoS peut bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce dernier est à surveiller de près. En effet, un attaquant peut envoyer un lien de prévisualisation avec une cible URL invalide qui peut faire planter l’application Teams sur Android.
Concernant la vulnérabilité SSRF, les chercheurs sont parvenus à faire fuir des informations du réseau local de Microsoft tandis que le bug d’usurpation renforce l’efficacité des attaques de phishing et permet de dissimuler des liens malveillants.
Y a-t-il des solutions ? Positive Security avait alerté Microsoft en mars dernier de l’existence de ces vulnérabilités. Depuis, seules les fuites d’adresses IP dans Teams sous Android ont été corrigées. Or, maintenant que ces découvertes ont été rendues publiques par Positive Security, Microsoft pourrait devoir corriger les trois autres même si pour le géant du numérique, ces dernières ne constituent pas un risque immédiat.
Sur un autre sujet, Microsoft fournit une raison supplémentaire de douter de l’efficacité de son approche sur les sujets de cybersécurité. La firme de Redmond se servirait de son navigateur Web Edge, via une option installée nativement, pour collecter les données de recherche de l’utilisateur. Et ce, quel que soit le moteur de recherche utilisé, dans le but d’améliorer ses produits.