Actus

Microsoft Teams stocke les jetons d’authentification en clair dans Windows, Linux, Macs

Par Philippe Ternision , le 15 septembre 2022 , mis à jour le 15 septembre 2022 - 4 minutes de lecture
teams
5/5 - (1 vote)

Les analystes de la sécurité ont découvert une faille de sécurité critique dans l’application de bureau Microsoft Teams qui pourrait permettre aux attaquants d’accéder aux jetons et comptes d’authentification compatibles avec l’authentification multifacteur (MFA).

Microsoft Teams est une plateforme de communication incluse dans la famille de produits 365 et utilisée par plus de 270 millions de personnes pour échanger des messages texte, des vidéoconférences et du stockage de fichiers.

Le problème de sécurité récemment découvert affecte les versions de l’application pour Windows, Linux et Mac, et fait référence au fait que Microsoft Teams stocke les jetons d’authentification des utilisateurs en texte clair sans sécuriser l’accès.

Un attaquant ayant un accès local à un système sur lequel Microsoft Teams est installé pourrait voler les jetons et les utiliser pour se connecter au compte de la victime.

“Cette attaque ne nécessite pas de privilèges spéciaux ou de logiciels malveillants avancés pour échapper à un compromis d’initié important”, a expliqué Connor Peoples de la société de cybersécurité Vectra dans un rapport publié cette semaine.

Les chercheurs ont ajouté qu’en prenant le contrôle de “postes clés – tels que le directeur de l’ingénierie, le PDG ou le directeur financier d’une entreprise – les attaquants peuvent convaincre les utilisateurs d’effectuer des tâches préjudiciables à l’organisation”.

Les chercheurs de Vectra ont découvert le problème en août 2022 et l’ont signalé à Microsoft. Cependant, Microsoft n’était pas d’accord avec la gravité du problème et a déclaré qu’il ne respectait pas les normes de résolution.

Détails de la question

Microsoft Teams est une application Electron, ce qui signifie qu’elle s’exécute dans une fenêtre de navigateur et contient tous les éléments requis pour une page Web standard (cookies, chaînes de session, journaux, etc.).

Electron ne prend pas en charge les emplacements de fichiers cryptés ou protégés par défaut. Par conséquent, bien que le cadre logiciel soit polyvalent et facile à utiliser, il n’est pas considéré comme suffisamment sécurisé pour le développement de produits critiques, à moins qu’il n’y ait beaucoup de personnalisation et de travail supplémentaire.

Vectra a analysé Microsoft Teams pour tenter de trouver un moyen de supprimer les comptes désactivés des applications clientes et a trouvé un fichier ldb contenant un jeton d’accès en texte clair.

De plus, les analystes ont découvert que le dossier “Cookies” contenait également des jetons d’authentification valides, ainsi que des informations de compte, des données de session et des balises marketing.

Enfin, Vectra a développé une vulnérabilité en abusant des appels API qui vous permet de vous envoyer des messages. En utilisant le moteur SQLite pour lire la base de données des cookies, les chercheurs ont reçu le jeton d’authentification sous forme de message dans leur fenêtre de chat.

La plus grande préoccupation est que la vulnérabilité pourrait être exploitée par des logiciels malveillants voleurs d’informations, qui sont devenus l’une des méthodes de paiement distribuées les plus courantes dans les campagnes de phishing.

En utilisant ce type de logiciel malveillant, les acteurs de la menace pourraient voler des jetons d’authentification Microsoft Teams et se connecter à distance en tant qu’utilisateur, en contournant MFA et en obtenant un accès complet au compte.

Les voleurs d’informations l’ont déjà fait pour d’autres applications, telles que Google Chrome, Microsoft Edge, Mozilla Firefox, Discord, etc.

Atténuation des risques

Étant donné qu’il est peu probable qu’un correctif soit publié, Vectra recommande aux utilisateurs de passer à la version du navigateur du client Microsoft Teams. En utilisant Microsoft Edge pour charger des applications, les utilisateurs peuvent bénéficier d’une protection supplémentaire contre les fuites de jetons.

Les chercheurs ont conseillé aux utilisateurs de Linux d’opter pour une autre suite de collaboration, en particulier après que Microsoft a annoncé son intention de cesser de prendre en charge les applications pour la plate-forme d’ici décembre.

Pour ceux qui ne peuvent pas migrer immédiatement vers une autre solution, ils peuvent créer une règle de surveillance pour découvrir les processus accédant aux répertoires suivants :

  • [Windows] %AppData%MicrosoftTeamsCookies
  • [Windows] %AppData%MicrosoftTeamsLocal Storageleveldb
  • [macOS] ~/Bibliothèque/Application Support/Microsoft/Teams/Cookies
  • [macOS] ~/Bibliothèque/Application Support/Microsoft/Teams/Local Storage/leveldb
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Stockage local/leveldb
Le saviez-vous ?
Pour vous accompagner vous pouvez faire appel à des consultants office 365.
  • Verbatim Clé USB Verbatim Prinstripe 128 Go noire
    Solution idéale pour stocker vos informations en toute sécurité. Capacité de stockage 128 Go.<br/>Vitesse de lecture de 10 MB/s.<br/>Vitesse d’écriture de 4 MB/s.<br/>Clé USB 2.0 compatible avec Windows 10, 8, 7, Mac OS 9 ou supérieur, Linux 2.4.0 ou supérieur - Offre exclusivement réservée aux professionnels
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.