Après avoir examiné la façon dont Microsoft Teams gère les ressources d’images, les chercheurs en sécurité ont trouvé un moyen de prendre en charge les comptes en envoyant aux destinataires un GIF normal.

La méthode aurait pu être utilisée pour les versions de bureau et Web de Teams pour accéder à plusieurs comptes à la fois et voler des conversations et des discussions.

Le contrôle d’un sous-domaine sous teams.microsoft.com était la principale condition de l’attaque, et les chercheurs avaient le choix entre deux. Microsoft a reçu un rapport sur la vulnérabilité et a poussé les mesures d’atténuation pour empêcher l’attaque.

Authentification des cookies

Dans un article de blog publié aujourd’hui, des chercheurs de la société de cybersécurité CyberArk ont ​​publié des détails sur la façon dont Microsoft Teams charge les images et sur le fonctionnement de l’authentification pour délivrer ce type de message.

Pour vous assurer qu’un destinataire obtient l’image qui lui est destinée, l’authentification se termine via deux jetons: «authtoken» et «skypetoken».

Le premier authentifie les utilisateurs pour charger des images dans des domaines à travers Teams et Skype et est utilisé pour générer le second, qui est utilisé pour s’authentifier auprès d’un serveur qui gère les demandes d’action du client, comme lire ou envoyer des messages.

Un attaquant avec ces deux cookies pourrait passer des appels via les API Teams et avoir le contrôle total d’un compte: lire / envoyer des messages, créer des groupes, ajouter ou supprimer des utilisateurs, modifier les autorisations.

Un obstacle ici est que «authtoken» ne peut être utilisé qu’avec un sous-domaine sous «teams.microsoft.com». En approfondissant cela, les chercheurs de CyberArk ont ​​découvert qu’ils pouvaient exécuter une attaque par prise de contrôle de sous-domaine sur les éléments suivants:

  • aadsync-test.teams.microsoft.com
  • data-dev.teams.microsoft.com
Infos WEB:  La FTC s'accorde avec le fabricant canadien de serrures intelligentes sur les pratiques de sécurité

« Si un attaquant peut forcer un utilisateur à visiter les sous-domaines qui ont été repris, le navigateur de la victime enverra ce cookie au serveur de l’attaquant et l’attaquant (après avoir reçu l’authtoken) peut créer un jeton Skype. Après avoir fait tout cela, l’attaquant peut voler les données du compte Teams de la victime »- CyberArk

Pour y parvenir, l’attaquant doit obtenir un numérique …



Voir la source de cette publication