Attention aux mauvaises évaluations des risques : le Microsoft Teams GIF attack scenario ?

Pendant cette période de confinement, les usagers d’outils de collaboration audiovisuelle à distance ont augmenté considérablement.

Les chercheurs en sécurité en sont bien conscients et ont augmenté les efforts dans la recherche de problèmes de sécurité liés à ces produits.

Microsoft Teams ne fait pas exception, avec l’article Beware of the GIF: Account Takeover Vulnerability in Microsoft Teams par CyberArk apparu le 27 avril (https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/).

Notamment, les chercheurs ont reporté le 23 mars à Microsoft les faiblesses suivantes :

  • On peut placer l’adresse web d’une image GIF dans un message et Teams le télécharge automatiquement.
  • Lorsque Teams interagit avec un hôte qui finit par teams.microsoft.com, un des jetons d’authentification de l’utilisateur sera automatiquement transmis.

Source : https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/

Toutes seules, ces faiblesses n’ont pas d’impact.

Ce sont des comportements assez classiques de ce genre d’application, mais Microsoft a néanmoins décidé de restreindre l’envoi de jetons à teams.microsoft.com uniquement à partir du 20 avril suivant.

Le problème qui a permis de monter un scénario d’attaque complet a en effet été communiqué le même jour :

  • aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com pointent vers des adresses IP qu’un attaquant peut usurper facilement.

Les chercheurs n’ont pas dévoilé quelles étaient les adresses, mais il s’agit très probablement d’adresses privées ou locales, comme 192.168.1.1 ou 127.0.0.1.

Ce problème a été résolu le jour même par Microsoft et concerne son infrastructure plutôt que l’application Teams.

Les chercheurs ont aussi expliqué qu’il a fallu créer un certificat TLS valide pour ces domaines, et que cela est facile à faire… pour des adresses IP publiques.

En revanche, ils ont oublié de mentionner que cela est certainement plus compliqué à faire pour des adresses privées, où il faut d’abord attaquer le système de livraison de certificats ou PKI de l’entreprise depuis le réseau interne.

Même si l’adresse était publique, il aurait fallu d’abord l’usurper, ce qui sur Internet se révèle être une tâche bien plus compliquée.

Ces noms à domaine mal paramétrés auraient pu être notamment utilisés pour effectuer d’autres attaques, par exemple de phishing, mais dans tous les cas et certainement pour effectuer le scénario décrit dans l’article c’était bien plus facile à monter en laboratoire que dans un cas réel.

Si l’on considère la difficulté de mise en œuvre d’une telle attaque, on ne peut qu’applaudir le fait que Microsoft a réagi et corrigé le problème dans la journée, bien conscient d’être en ce moment, peut-être plus que d’habitude, la cible d’attaques.