Microsoft Teams fait partie des solutions collaboratives et de communcation les plus utilisées dans le monde. Pratique, bien que loin d'être exempte de bug de connexion en visioconférence notamment, la solution est en ce moment confrontée à un souci de taille. Des chercheurs en sécurité de Vectra ont en effet identifié dans l'application pour PC de bureau une possibilité d'exploit débouchant sur le stockage dans des fichiers système en clair des jetons d'authentification des utilisateurs. Et ce, sans aucune restriction d'accès. « Après analyse, il a été déterminé que ces jetons d'accès étaient actifs et qu'il ne s'agit pas d'un incident lié à un précédent bug », ont prévenu les chercheurs. « Ces jetons d'accès nous ont donné accès aux API Outlook et Skype ».

Suite à la découverte des chercheurs en sécurité de l'éditeur, Microsoft a réagi : « La technique décrite ne fonctionne pas immédiatement car elle nécessite qu'un attaquant accède d'abord à un réseau cible. Nous apprécions le partenariat de Vectra Protect dans l'identification et la divulgation responsable de ce problème et envisageons de le résoudre dans une future version du produit ». 

Une solution de contournement avant un éventuel correctif

Le plus grand risque est de voir cette faille exploitée par des stealers, de plus en plus utilisés en tant que charge utile dans des campagnes de phishing. En s'appuyant sur ce type de malware spécialisés dans le vol de données, les pirates pourraient ainsi aspirer des jetons d'authentification Microsoft Teams et se connecter à distance en tant qu'utilisateur, en contournant le processus d'authentification multifacteurs et aboutissant à un accès complet à un compte Teams. « Cette attaque ne nécessite pas d'autorisations spéciales ou de logiciels malveillants avancés pour déboucher sur des dommages internes majeurs », a prévenu Connor Peoples, architecte logiciel SSPM [SaaS Security Posture Management, NDLR] de Vectra dans un rapport cette semaine.

En attendant la parution d'un possible correctif, Vectra recommande aux utilisateurs de passer à la version web du client Microsoft Teams. En utilisant le navigateur Edge pour charger l'application, les utilisateurs bénéficient par exemple de protections supplémentaires contre le risque de leak de jetons. Une solution de contournement est également possible en créant une règle de surveillance pour découvrir les processus accédant aux répertoires suivants et les stopper en conséquence :

[Windows] %AppData%\Microsoft\Teams\Cookies
[Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
[macOS] ~/Bibliothèque/Application Support/Microsoft/Teams/Cookies
[macOS] ~/Bibliothèque/Application Support/Microsoft/Teams/Local Storage/leveldb
[Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
[Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

« Si un processus autre que Teams.exe accède à ces fichiers, cela indique que les données stockées sont accessibles en dehors du contexte de l'application Teams », indique Vectra.