Les utilisateurs de Microsoft Teams peuvent désormais partager des GIF pour décrire plus précisément leurs émotions à leurs collègues. Cependant, les experts ont averti que les cybercriminels peuvent également les utiliser pour exécuter des commandes malveillantes et voler des données sensibles sans être détectés par les outils antivirus.
Le consultant en cybersécurité et testeur de plumes Bobby Rauch a découvert certaines vulnérabilités dans la plate-forme de visioconférence qui, lorsqu'elles sont enchaînées, peuvent entraîner des fuites de données et l'exécution de code malveillant.
C'est aussi beaucoup d'efforts, car l'attaquant doit faire un certain nombre de choses, notamment demander à la victime de télécharger et d'installer d'abord un outil de transfert malveillant capable d'exécuter des commandes et de télécharger la commande de sortie via l'URL GIF vers les liens Web de Microsoft Teams. . L'organisateur analysera les journaux de Microsoft Teams où, soi-disant, tous les messages reçus sont enregistrés et lisibles par tous les groupes d'utilisateurs de Windows, quel que soit leur niveau de privilège.
utiliser la scène
Après avoir configuré l'outil de transfert, l'attaquant doit créer un nouveau locataire Teams et communiquer avec d'autres membres de Teams en dehors de l'organisation. Selon le chercheur, ce n'est pas si difficile, puisque Microsoft autorise la communication externe par défaut. Ensuite, en utilisant le script Python du chercheur appelé GIFShell, l'attaquant peut envoyer un fichier .GIF malveillant capable d'exécuter des commandes sur le terminal cible.
Le message et le fichier .GIF se retrouveront dans le dossier des journaux, sous l'œil vigilant du régisseur. Cet outil extraira ensuite les commandes du .GIF et les exécutera sur l'appareil. Le GIFShell PoC peut ensuite prendre la sortie et la convertir en texte base64, et l'utiliser comme nom de fichier pour un .GIF distant, intégré dans une carte de sondage Microsoft Teams. L'outil de transfert envoie ensuite cette carte au lien Web public Microsoft Teams de l'attaquant. Les serveurs de Microsoft se reconnecteront alors à l'URL du serveur de l'attaquant pour récupérer le .GIF. GIFShell recevra alors la demande et décodera le nom du fichier, donnant à l'auteur de la menace une visibilité claire sur la sortie de la commande exécutée sur le terminal cible.
Lee mas> Microsoft Teams obtient une mise à jour sous le capot pour améliorer les performances
> Microsoft Teams obtient une nouvelle fonctionnalité de sécurité basique mais puissante
> Ce sont les meilleurs firewalls du moment
Le chercheur a également ajouté que rien n'empêche les attaquants d'envoyer autant de GIF qu'ils le souhaitent, chacun contenant différentes commandes malveillantes. De plus, comme le trafic semble provenir des propres serveurs de Microsoft, il sera considéré comme légitime par les outils de cybersécurité et ne sera pas signalé.
Lorsqu'il a été informé des résultats, Microsoft a déclaré qu'il ne les poursuivrait pas car ils ne contournaient pas nécessairement les limites de sécurité.
"Pour ce cas, 72412, bien qu'il s'agisse d'une excellente recherche et que l'équipe d'ingénierie s'efforcera d'améliorer ces domaines au fil du temps, ils sont tous post-minage et dépendent d'une cible déjà compromise", a apparemment déclaré Microsoft à Rauch.
"Il semble que les limites de sécurité ne soient pas contournées. L'équipe produit examinera le problème pour d'éventuels futurs changements de conception, mais l'équipe de sécurité ne suivra pas cela."
- Ce sont les meilleurs outils de collaboration en ligne qui existent
Via: BleepingComputer