Les chercheurs en sécurité ont trouvé un moyen simple de fournir des logiciels malveillants à une organisation avec Microsoft Teams, malgré les restrictions dans l’application pour les fichiers provenant de sources externes.
Avec 280 millions d’utilisateurs actifs par mois, Microsoft Teams a été adopté par les organisations en tant que plate-forme de communication et de collaboration faisant partie des services Microsoft 365 basés sur le cloud.
Compte tenu de la popularité du produit auprès de diverses organisations, Max Corbridge et Tom Ellson, membres de l’équipe rouge de la société britannique de services de sécurité Jumpsec, ont fouillé et découvert un moyen de diffuser des logiciels malveillants à l’aide de Microsoft Teams avec un compte en dehors de l’organisation cible.
Détails de l’attaque
L’attaque fonctionne avec Microsoft Teams exécutant la configuration par défaut, qui permet la communication avec des comptes Microsoft Teams en dehors de l’entreprise, généralement appelés « locataires externes ».
Corbridge explique dans un rapport que même si ce pont de communication serait suffisant pour les attaques d’ingénierie sociale et de phishing, la méthode qu’ils ont trouvée est plus puissante car elle permet d’envoyer une charge utile malveillante directement dans une boîte de réception cible.
Microsoft Teams a mis en place des protections côté client pour bloquer la livraison de fichiers à partir de comptes de locataires externes.
Cependant, les deux membres de Jumpsec Red Team ont découvert qu’ils pouvaient contourner la restriction en modifiant l’ID de destinataire interne et externe dans la requête POST d’un message, trompant ainsi le système en traitant un utilisateur externe comme un utilisateur interne.
« Lorsque vous envoyez la charge utile comme celle-ci, elle est en fait hébergée sur un domaine Sharepoint et la cible la télécharge à partir de là. Elle apparaît cependant dans la boîte de réception cible sous la forme d’un fichier et non d’un lien. » – Laboratoires Jumpsec
Les chercheurs ont testé la technique sur le terrain et ont réussi à livrer une charge utile de commande et de contrôle dans une boîte de réception d’organisations cibles, dans le cadre d’un engagement secret de l’équipe rouge.
Cette attaque contourne les mesures de sécurité existantes et les conseils de formation anti-hameçonnage, offrant aux attaquants un moyen assez simple d’infecter toute organisation utilisant Microsoft Teams avec sa configuration par défaut.
De plus, si l’attaquant enregistre un domaine similaire aux organisations cibles sur Microsoft 365, ses messages pourraient apparaître comme s’ils provenaient de quelqu’un à l’intérieur de l’organisation, et non d’un locataire externe, augmentant ainsi la probabilité que la cible télécharge le fichier. .
La réponse de Microsoft
Les chercheurs ont rapporté leurs découvertes à Microsoft, en supposant que l’impact était suffisamment important pour garantir une réponse immédiate du géant de la technologie.
Bien que Microsoft ait confirmé l’existence de la faille, la réponse a été qu' »elle ne respecte pas la barre des services immédiats », ce qui signifie que la société ne voit pas d’urgence à la corriger.
Breachtrace a également contacté Microsoft pour lui demander quand ils prévoient de résoudre le problème et si sa gravité a été reconsidérée, mais nous n’avons pas reçu de réponse au moment de la publication.
L’action recommandée pour les organisations qui utilisent Microsoft Teams et n’ont pas besoin de maintenir une communication régulière avec les locataires externes consiste à désactiver cette fonctionnalité à partir de « Centre d’administration Microsoft Teams > Accès externe ».
Si des canaux de communication externes doivent être maintenus, les organisations peuvent définir des domaines spécifiques dans une liste d’autorisation, afin de réduire le risque d’exploitation.
Les chercheurs de Jumpsec ont également soumis une demande pour ajouter des événements externes liés aux locataires dans la journalisation du logiciel, ce qui pourrait aider à prévenir les attaques au fur et à mesure qu’elles se déroulent, alors votez si vous voulez contribuer à faire pression sur Microsoft pour qu’il agisse.