L’application Microsoft Teams stocke les jetons d’authentification en clair sur Windows, Linux et macOS !

Une vulnérabilité importante affecte l'application desktop de Microsoft Teams et elle permet à un attaquant d'accéder aux jetons d'authentification des utilisateurs ! Avec ce jeton, il peut se réauthentifier avec le même compte sur une autre machine.

En quelques années, Microsoft Teams est devenu une solution collaborative incontournable, et aujourd'hui elle compte plus de 270 millions d'utilisateurs !

La nouvelle faille de sécurité affecte l'application Microsoft Teams que l'on installe sur son ordinateur afin d'éviter d'utiliser la version Web, et elle concerne les applications pour Windows, Linux et macOS ! Il s'avère que Teams stocke le jeton d'authentification de l'utilisateur en clair sur le disque (un fichier ldb) et sans protéger l'accès à cette information sensible. Un attaquant ayant un accès à une machine où Teams est installé et connecté à un compte utilisateur peut dérober le jeton d'authentification afin de réauthentifier avec le compte de l'utilisateur, y compris s'il est protégé par du MFA !

Comme le précise Connor Peoples de chez Vectra : "Cette attaque ne nécessite pas d'autorisations spéciales ou de logiciels malveillants avancés pour effectuer des dommages importants". En effet, on peut imaginer que si l'attaquant récupère le jeton d'authentification du compte du Directeur Général de l'entreprise, il peut effectuer des actions préjudiciables pour l'entreprise, voire même convaincre les utilisateurs d'effectuer certaines actions au nom du Grand Patron.

Microsoft Teams est une application basée sur le framework Electron (comme beaucoup d'autres versions desktop d'applications populaires) et cette application supporte les mêmes fonctions que lors de l'utilisation en mode navigateur : cookies, sessions, logs, etc. Le problème, c'est que Electron ne prend pas en charge le chiffrement ou la protection de fichiers par défaut, et que cela implique des travaux importants pour corriger ces deux lacunes. Sur des applications aussi populaires, et donc critiques, on aimerait pourtant que ce soit fait.

En analysant le fonctionnement de Teams, les chercheurs de chez Vecta ont découvert que le dossier "Cookies" contenait des jetons d'authentification valides, ainsi que des informations sur les comptes, des données de session et des balises marketing. C'est particulièrement dangereux, car les logiciels malveillants qui volent des informations, notamment dans les navigateurs, sont de plus en plus fréquents. Comme je le disais précédemment, en volant ces données, un attaquant peut se réauthentifier avec le compte de l'utilisateur sur une autre machine.

Comment se protéger contre le vol de jeton d'authentification ?

Les chercheurs de Vectra ont découvert ce problème de sécurité en août 2022 et l'ont signalé à Microsoft. Toutefois, Microsoft ne semble pas d'accord sur le niveau de gravité de cette faille de sécurité, et pour le moment cette vulnérabilité n'est pas corrigée, mais ce serait au programme dans une prochaine version de Teams. L'entreprise américaine estime que ce n'est pas urgent, car pour exploiter cette vulnérabilité, l'attaquant doit déjà accéder à la machine cible d'une autre manière. Cette réponse de Microsoft me rappelle une autre technique d'attaque nommée GIFShell, évoquée la semaine dernière.

Vectra recommande aux utilisateurs de ne plus utiliser l'application desktop de Teams, mais d'utiliser la version Web de Teams, par exemple avec Microsoft Edge. C'est suffisant pour se protéger contre le vol de jeton d'authentification. Sinon, il convient de surveiller les processus qui accèdent à ces éléments :

  • [Windows] %AppData%\Microsoft\Teams\Cookies
  • [Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
  • [macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
  • [Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

Affaire à suivre...

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4109 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.