Microsoft a été accusé de minimiser la gravité d'un problème de sécurité trouvé dans sa plate-forme de collaboration Teams, qui a été discrètement corrigé en octobre. Selon un rapport de l'ingénieur en sécurité Oskars Vegeris, la société n'a pas averti les utilisateurs du problème et n'a pas non plus recherché la classification Common Vulnerabilities and Exposures (CVE), arguant que les correctifs Teams sont installés automatiquement. . Environ un mois après sa divulgation, Microsoft a classé la vulnérabilité de script intersite (XSS) comme "Importante, Spoofing", que Vegeris décrit comme "l'une des notes les plus basses possibles". Cependant, la portée des attaques possibles et la possibilité d'accéder à différentes zones du réseau infecté signifient qu'il nécessite une cote de menace beaucoup plus élevée, explique Vegeris.
Vulnérabilité Microsoft Teams
Cette vulnérabilité particulière de Microsoft Teams, selon le chercheur, pourrait ouvrir la porte à "l'exécution de code à distance sans clic, vermifuge et multiplateforme". Décomposé pour le profane, cela signifie que l'attaque n'est pas basée sur une erreur de la part de la victime (comme cliquer sur un lien dangereux), l'infection peut se propager d'un ordinateur à l'autre et l'exploit permet au pirate de exécuter à volonté du code malveillant sur les machines infectées. Comme le décrit Vegeris, un attaquant pourrait envoyer ou modifier un message qui semble identique à un autre. Lorsque le journal de discussion correspondant est ouvert, le code est lancé sur la machine de la victime. "C'est tout. Plus d'interaction avec la victime. Désormais, le réseau interne de l'entreprise, les documents personnels, les documents/e-mails/notes O365, les discussions secrètes sont complètement compromis", a écrit Vegeris. Un message, un canal, aucune interaction. Tout le monde est exploité. » Selon le rapport, l'exploit a également permis aux attaquants de voler des jetons Office 365 SSO (leur donnant accès aux journaux de messagerie d'entreprise, aux documents, etc.), d'élever leurs privilèges administratifs et d'accéder aux caméras et aux microphones. De plus, si une organisation invitait des entités invitées dans son réseau Teams (souvent des clients ou des clients), alors en théorie, l'infection pourrait également se propager d'une entreprise à une autre. ont une erreur d'exécution de code à distance, nous l'appelons "Important, Spoofing". Merci Microsoft", a plaisanté Vegeris. Microsoft n'a pas immédiatement répondu à notre demande de commentaire. Via le journal