Zoom s’est hissé au sommet rapidement, mais à cause de divers problèmes de sécurité et de confidentialité, il a été rattrapé par les concurrents.
Mais ses rivaux ont leurs défauts aussi, comme en témoigne une faille de sécurité découverte dans l’outil de collaboration et de visioconférence Microsoft Teams, comme révélé ce lundi.
Pendant au moins trois semaines, de fin février à la mi-mars 2020, un GIF malveillant aurait pu voler des données utilisateur sur des comptes Microsoft Teams, peut-être dans toute une entreprise, et prendre le contrôle de « l’ensemble des comptes des équipes d’une organisation », ont averti des chercheurs en cybersécurité.
La vulnérabilité pertinente a été corrigée le 20 avril 2020, ce qui signifie que les utilisateurs sont désormais à l’abri de cette attaque spécifique. Mais cela montre que ce n’est pas seulement Zoom qui est faillible aux vulnérabilités potentiellement cataclysmiques.
D’autres outils de vidéoconférence qui sont devenus extrêmement populaires parmi les populations du confinement pendant la pandémie du COVID-19 peuvent et seront ciblés aussi.
C’est quoi Evil GIF ?
La vulnérabilité a affecté toutes les versions Microsoft Teams pour le bureau et le navigateur Web.
Le problème réside dans la façon dont Microsoft traitait les jetons d’authentification pour la visualisation d’images dans Teams. Considérez ces jetons comme des fichiers qui prouvent qu’un utilisateur légitime accède au compte Teams.
Ces jetons sont manipulés par Microsoft sur son serveur situé sur “teams.microsoft.com” ou tout autre sous-domaine sous cette adresse.
CyberArk a constaté qu’il était possible de détourner deux de ces sous-domaines - “aadsync-test.teams.microsoft.com” et “data-dev.teams.microsoft.com” - dans le cadre d’une attaque.
Ils ont découvert que si un pirate pouvait forcer une cible à visiter les sous-domaines détournés, les jetons d’authentification pourraient être transmis au serveur de l’attaquant. Ils pourraient alors créer un autre jeton - le jeton "skype" - qui leur donnait accès pour voler les données du compte Teams de la victime.
La façon évidente de convaincre un utilisateur de visiter les sous-domaines compromis serait via une attaque de phishing classique, où le pirate enverrait un lien cible et essaiera de les faire cliquer dessus.
Mais les chercheurs de CyberArk ont jugé que c’était trop évident, d’où la création du “Evil” Donald Duck GIF qui, sur le simple fait de le regarder, forcerait le compte Teams de la victime à renoncer à son jeton d’authentification et donc ses données.
C’est parce que la source du GIF était un sous-domaine compromis et que Teams les contactera automatiquement pour afficher l’image.
Le piratage de Microsoft Teams par Evil GIF
CyberArk a déclaré que les pirates auraient pu abuser de la vulnérabilité pour créer un virus, de sorte que l’attaque se propage d’un utilisateur à l’autre pour atteindre un grand nombre de personnes dans un court laps de temps.
Have you seen the 'Evil GIF' that the CyberArk labs team uncovered? Microsoft Teams can be compromised by sending a #malicious #GIF — explore the full details on what it is and the impact it can have via @Forbes. https://t.co/ULc5cyBaLR— CyberArk (@CyberArk) April 27, 2020
Les chercheurs ont écrit dans un rapport remis à Forbes avant la publication :
Le fait que la victime n’a qu’à voir le message conçu pour être atteint est un cauchemar du point de vue de la sécurité.
Chaque compte qui aurait pu être affecté par cette vulnérabilité aurait également pu être un point de propagation à tous les autres comptes de l’entreprise.
Quel est l’impact ?
L’impact aurait pu être grave, mais il n’y a aucune indication qu’un pirate malveillant a tiré parti de la vulnérabilité, d’après CyberArk :
Éventuellement, les pirates ont pu accéder à toutes les données des comptes Teams de votre organisation, recueillant des informations confidentielles, des données concurrentielles, des secrets, des mots de passe, des informations privées, des plans d’affaires.
Peut-être encore plus inquiétant, ils pourraient également exploiter cette vulnérabilité pour envoyer de fausses informations aux employés de Microsoft qui se fait passer pour le leadership le plus fiable d’une entreprise, ce qui entraînerait des dommages financiers, de la confusion, des fuites directes de données, et plus encore.
La réaction de Microsoft ?
La vulnérabilité a été corrigée le 20 avril 2020, bien que Microsoft a pris des mesures plus tôt le 23 mars 2020 pour s’assurer que les sous-domaines vulnérables ne pouvaient pas être détournés. Et c’était le même jour que CyberArk informait le géant de la technologie de sa trouvaille.
Omer Tsarfati, chercheur chez CyberArk Labs, a déclaré à Forbes qu’il n’était pas clair depuis combien de temps le bogue était présent dans Microsoft Teams. Il a déclaré que les sous-domaines vulnérables étaient susceptibles d’être pris en charge depuis le 27 février 2020, ce qui signifie que les failles de sécurité datent d’au moins 3 semaines.
Mais il a félicité Microsoft pour avoir réagi "très vite", notant que les utilisateurs n’avaient rien à faire, car la faille a été corrigée pour eux.
Comme avec Zoom, Microsoft a agi rapidement pour résoudre les problèmes affectant les télétravailleurs de plus en plus nombreux.
Et ce, bien que les vulnérabilités affecteront toujours ces différents outils de visioconférence.
