Name: Tremplin Numérique
Price range: $$$

Il existe des éléments de conception ou des vulnérabilités «non sécurisés» au sein de Microsoft Teams qui pourraient éventuellement être utilisés par des attaquants. Selon consultant en cybersécurité Bobby Rauch qui a partagé la découverte, elle pourrait être effectuée à l’aide des GIF malveillants envoyés dans les messages Teams. (passant par BipOrdinateur)

« Cette infrastructure C2 unique peut être exploitée par des acteurs sophistiqués de la menace pour éviter la détection par EDR et d’autres outils de surveillance du réseau. En particulier dans les environnements de réseau sécurisés, où Équipes Microsoft pourrait être l’un des rares hôtes et programmes autorisés et de confiance, cette chaîne d’attaque peut être particulièrement dévastatrice », a expliqué Raunch. « Deux vulnérabilités supplémentaires découvertes dans Microsoft Teams, un manque d’application des autorisations et d’usurpation de pièce jointe, permettent au stager GIFShell d’être abandonné et exécuté de manière convaincante sur la machine de la victime, complétant la chaîne d’attaque de la compromission de la victime aux communications secrètes. »

La rapport a été partagé pour la première fois avec Microsoft en mai et juin 2022. Il concerne Teams Version 1.5.00.11163 et versions antérieures, et Raunch a déclaré que les vulnérabilités n’étaient toujours pas corrigées dans la dernière version de Teams, donnant aux acteurs la possibilité d’exécuter la chaîne d’attaque GIFShell sur eux. Cependant, selon le consultant, les résultats n’ont pas satisfait à la « barre de service » de Microsoft bien qu’ils aient été décrits comme « une excellente recherche » et que la société lui ait donné la permission de « bloguer/discuter de cette affaire et/ou de présenter vos découvertes publiquement ».

« Souvent, les entreprises et les équipes d’ingénierie prennent des décisions de conception basées sur le » risque supposé « , dans lequel une vulnérabilité à impact potentiellement faible n’est pas corrigée ou une fonctionnalité de sécurité est désactivée par défaut, afin d’atteindre un objectif commercial », a exprimé Raunch. son inquiétude. « Je crois que cette recherche est démonstrative d’un cas où une série de décisions de conception et de » risques supposés « pris par une équipe d’ingénieurs produit, peuvent être enchaînés dans une chaîne d’attaque plus pernicieuse et un exploit à risque beaucoup plus élevé que ce que les concepteurs de produits avaient imaginé. était possible.

Raunch a énuméré dans son rapport les sept failles et vulnérabilités de Microsoft Teams. L’un des points les plus notables mis en évidence par Raunch est le fait que le contenu en octets des GIF encodés en HTML base64 inclus dans les messages Microsoft Teams n’est pas analysé à la recherche de contenu malveillant. Il a également expliqué que, puisque la lecture des fichiers journaux Teams en texte brut n’a pas besoin de privilèges d’administrateur ou élevés, le stager malveillant qui serait installé peut exécuter et analyser librement les fichiers journaux. Grâce à ces vulnérabilités, Rauch a déclaré que les contournements de contrôle de sécurité, l’exfiltration de données, l’exécution de commandes et les attaques de phishing sont possibles.

Interrogé sur les bogues, Microsoft a déclaré à BleepingComputer presque la même réponse que Raunch avait reçue de la société.

« Il est important d’être conscient de ce type de phishing et, comme toujours, nous recommandons aux utilisateurs d’adopter de bonnes habitudes informatiques en ligne, notamment en faisant preuve de prudence lorsqu’ils cliquent sur des liens vers des pages Web, ouvrent des fichiers inconnus ou acceptent des transferts de fichiers.

« Nous avons évalué les techniques rapportées par ce chercheur et avons déterminé que les deux mentionnées ne répondent pas à la barre pour un correctif de sécurité urgent. Nous recherchons constamment de nouvelles façons de mieux résister au phishing pour aider à assurer la sécurité des clients et nous pourrions prendre des mesures dans une future version pour aider à atténuer cette technique.

D’autre part, alors que Microsoft considère les découvertes de Raunch comme faisant partie de « certaines vulnérabilités de moindre gravité qui ne présentent pas de risque immédiat pour les clients », elles « seront prises en compte pour la prochaine version ou version de Windows ».