La vulnérabilité a été découverte par la société de sécurité Vectra. La variante de bureau de Teams stocke des jetons d’authentification utilisateur non chiffrés. Les jetons d’authentification des utilisateurs permettent d’accéder aux comptes d’utilisateurs. L’absence de cryptage permet aux pirates d’abuser des jetons.
Les jetons sont stockés sur l’appareil sur lequel les groupes sont configurés. Un pirate ayant accès au gadget a accès aux jetons. « Cette attaque n’a pas besoin d’autorisations spéciales ou de logiciels malveillants avancés pour s’en tirer avec des dommages internes importants », a expliqué Connor Peoples au nom de Vectra.
La vulnérabilité existe dans les variantes de bureau de Groups pour Windows, Linux et Mac. Vectra a informé Microsoft du problème en août 2022. Selon Vectra, le géant de la technologie n’a pas considéré la vulnérabilité suffisamment grave pour une place. Ainsi, l’entreprise de sécurité a informé le journalisme.
Vulnérabilité dans Microsoft Teams
Microsoft Teams est basé sur Electron, un cadre d’avancement logiciel. Les applications Electron s’exécutent dans les navigateurs Internet et prennent en charge exactement les mêmes fonctionnalités que les pages Web, à savoir les cookies et les journaux.
La variante standard de la structure ne fournit pas de cryptage. Ainsi, la version standard est rarement utilisée pour des applications massives et délicates. Microsoft Teams est une exception à la directive.
Au cours d’une analyse de Microsoft Teams, Vectra est tombé sur un fichier contenant des jetons d’accès non chiffrés. Un dossier de cookies exposait les informations de compte et les données de session.
Vectra a développé une API pour extraire et interagir avec l’accès des utilisateurs aux jetons. Rien n’empêche les cybercriminels d’utiliser la même méthode. La condition préalable est un accès régional au système sur lequel Microsoft Teams est configuré.
Prévention
Microsoft ne publiera probablement pas de correctif à court terme. Le géant de la technologie a été notifié en août 2022 et a refusé de mettre à jour l’application logicielle. La divulgation de la vulnérabilité peut provoquer une réponse, mais il n’y a aucune garantie.
Vectra recommande aux utilisateurs d’empêcher complètement les versions de bureau de Groupes. Selon la société de sécurité, la version du navigateur Web est plus sûre. Il est recommandé aux utilisateurs de Linux de trouver une nouvelle plate-forme de communication, car Microsoft se prépare à arrêter la prise en charge du système d’exploitation depuis décembre 2022.
Le site Web BleepingComputer a demandé à Microsoft une déclaration, mais n’a d’abord reçu aucune action.
Toute l’actualité en temps réel, est sur L’Entrepreneur
