Les attaquants qui obtiennent un premier accès au réseau d’une victime disposent désormais d’une autre méthode pour étendre leur portée : utiliser les jetons d’accès d’autres utilisateurs de Microsoft Teams pour usurper l’identité de ces employés et exploiter leur confiance.
C'est ce que révèle la société de sécurité Vectra, qui a déclaré dans un avis du 13 septembre que Microsoft Teams stockait les jetons d'authentification non cryptés, permettant à tout utilisateur d'accéder au fichier secret sans avoir besoin d'autorisations spéciales. Selon l'entreprise, un attaquant disposant d'un accès local ou distant au système peut voler les informations d'identification de tous les utilisateurs actuellement en ligne et usurper leur identité, même lorsqu'ils sont hors ligne, et usurper l'identité de l'utilisateur via toute fonctionnalité associée, telle que Skype, et contourner l'authentification multifacteur ( MAE).
La faiblesse donne aux attaquants la possibilité de se déplacer beaucoup plus facilement dans le réseau d'une entreprise, explique Connor Peoples, architecte de la sécurité chez Vectra, une entreprise de cybersécurité basée à San Jose, en Californie.
« Cela permet de multiples formes d'attaques, notamment la falsification des données, le spear phishing, la compromission de l'identité, et pourrait conduire à une interruption des activités si l'ingénierie sociale appropriée est appliquée à l'accès », dit-il, notant que les attaquants peuvent « falsifier les communications légitimes au sein d'une organisation ». en détruisant, exfiltrant ou en se livrant à des attaques de phishing ciblées de manière sélective.
Vectra a découvert le problème lorsque les chercheurs de l’entreprise ont examiné Microsoft Teams pour le compte d’un client, cherchant des moyens de supprimer les utilisateurs inactifs, une action que Teams n’autorise généralement pas. Au lieu de cela, les chercheurs ont découvert qu'un fichier stockait les jetons d'accès en texte clair, ce qui leur donnait la possibilité de se connecter à Skype et Outlook via leurs API. Étant donné que Microsoft Teams regroupe une variété de services (y compris ces applications, SharePoint et autres) auxquels le logiciel nécessite des jetons pour accéder, Vectra indiqué dans l'avis.
Avec les jetons, un attaquant peut non seulement accéder à n'importe quel service en tant qu'utilisateur actuellement en ligne, mais également contourner la MFA, car l'existence d'un jeton valide signifie généralement que l'utilisateur a fourni un deuxième facteur.
En fin de compte, l'attaque ne nécessite pas d'autorisations spéciales ou de logiciels malveillants avancés pour accorder aux attaquants un accès suffisant pour causer des difficultés internes à une entreprise ciblée, indique l'avis.
"Avec suffisamment de machines compromises, les attaquants peuvent orchestrer les communications au sein d'une organisation", a déclaré la société dans l'avis. « En prenant le contrôle total des postes critiques, comme le responsable de l’ingénierie, le PDG ou le directeur financier d’une entreprise, les attaquants peuvent convaincre les utilisateurs d’effectuer des tâches préjudiciables à l’organisation. Comment pratiquez-vous les tests de phishing pour cela ? »
Microsoft : aucun correctif nécessaire
Microsoft a reconnu les problèmes, mais a déclaré que le fait que l'attaquant devait déjà avoir compromis un système sur le réseau cible réduisait la menace posée et a choisi de ne pas appliquer de correctif.
"La technique décrite ne répond pas à nos exigences en matière de maintenance immédiate, car elle nécessite qu'un attaquant accède d'abord à un réseau cible", a déclaré un porte-parole de Microsoft dans un communiqué envoyé à Dark Reading. « Nous apprécions le partenariat de Vectra Protect pour identifier et divulguer de manière responsable ce problème et envisagerons de le résoudre dans une prochaine version du produit. »
En 2019, l'Open Web Application Security Project (OWASP) a publié une liste des 10 principaux problèmes de sécurité des API. Le problème actuel peut être considéré comme une authentification utilisateur interrompue ou une mauvaise configuration de la sécurité, les deuxième et septième problèmes classés sur la liste.
«Je considère cette vulnérabilité comme un autre moyen de mouvement latéral, essentiellement une autre voie pour un outil de type Mimikatz», déclare John Bambenek, principal chasseur de menaces chez Netenrich, un fournisseur de services d'opérations de sécurité et d'analyse.
L'une des principales raisons de l'existence de cette faille de sécurité est que Microsoft Teams est basé sur le cadre d'application Electron, qui permet aux entreprises de créer des logiciels basés sur JavaScript, HTML et CSS. À mesure que l’entreprise s’éloignera de cette plate-forme, elle sera en mesure d’éliminer la vulnérabilité, affirme Peoples de Vectra.
« Microsoft fait de gros efforts pour évoluer vers des applications Web progressives, ce qui atténuerait bon nombre des préoccupations actuellement soulevées par Electron », dit-il. "Plutôt que de réorganiser l'application Electron, je suppose qu'ils consacrent plus de ressources à l'état futur."
Vectra recommande aux entreprises d'utiliser la version basée sur un navigateur de Microsoft Teams, qui dispose de suffisamment de contrôles de sécurité pour empêcher l'exploitation des problèmes. Les clients qui ont besoin d'utiliser l'application de bureau doivent « surveiller les fichiers clés de l'application pour y accéder par tout processus autre que l'application officielle Teams », a déclaré Vectra dans l'avis.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
