Les chercheurs en sécurité ont découvert quatre vulnérabilités distinctes dans Microsoft Teams qui pourraient être exploitées par un attaquant pour usurper les aperçus de liens, divulguer des adresses IP et même accéder aux services internes du géant du logiciel.
Ces découvertes ont été faites par des chercheurs de Positive Security qui les ont « trébuchées » alors qu’ils cherchaient un moyen de contourner la politique de même origine (SOP) dans Teams et Electron, selon un nouveau billet de blog. Pour ceux qui ne le connaissent pas, le SOP est un mécanisme de sécurité présent dans les navigateurs qui permet d’empêcher les sites Web de s’attaquer les uns les autres.
Au cours de leur enquête sur la question, les chercheurs ont découvert qu’ils pouvaient contourner le SOP dans Teams en abusant de la fonction d’aperçu de lien dans le logiciel de visioconférence de Microsoft en permettant au client de générer un aperçu de lien pour la page cible, puis en utilisant soit un texte récapitulatif, soit un texte optique. reconnaissance de caractères (OCR) sur l’image d’aperçu pour extraire des informations.
Cependant, en faisant cela, le co-fondateur de Positive Security, Fabian Bräunlein, a découvert d’autres vulnérabilités sans rapport dans la mise en œuvre de la fonctionnalité.
Sommaire
Vulnérabilités Microsoft Teams
Sur les quatre bugs que Bräunlein a trouvés dans Teams, deux peuvent être utilisés sur n’importe quel appareil et permettent la falsification de requêtes côté serveur (SSRF) et l’usurpation d’identité tandis que les deux autres n’affectent que les smartphones Android et peuvent être exploités pour divulguer des adresses IP et obtenir un déni de service. (DOS).
En exploitant la vulnérabilité SSRF, les chercheurs ont pu divulguer des informations du réseau local de Microsoft. Pendant ce temps, le bogue d’usurpation d’identité peut être utilisé pour améliorer l’efficacité des attaques de phishing ou pour masquer des liens malveillants.
Le bogue DOS est particulièrement inquiétant car un attaquant peut envoyer à un utilisateur un message qui inclut un aperçu du lien avec une cible de lien d’aperçu invalide (par exemple « boum » au lieu de « https://… ») pour faire planter l’application Teams pour Android. Malheureusement, l’application continuera à planter lorsque vous essayez d’ouvrir le chat ou le canal avec le message malveillant.
Positive Security a divulgué de manière responsable ses conclusions à Microsoft le 10 mars via son programme de primes aux bogues. Cependant, depuis lors, le géant du logiciel n’a corrigé que la vulnérabilité de fuite d’adresse IP dans Teams pour Android. Maintenant que Positive Security a divulgué publiquement ses conclusions, Microsoft devra peut-être corriger les trois vulnérabilités restantes, même s’il a dit aux chercheurs qu’elles ne représentaient pas une menace immédiate pour ses utilisateurs.
Nous avons également arrondi le meilleure protection contre le vol d’identité, meilleur pare-feu et meilleur logiciel de suppression de malware
Via le poste de menace
