Les chercheurs en sécurité ont découvert une faille dans Microsoft Teams qui leur permettait de voler des messages de comptes d'utilisateurs en envoyant une image GIF malveillante.
La société de sécurité CyberArk a démontré l'attaque dans une vidéo publiée lundi.
Ses chercheurs ont utilisé le mème Internet Whale Hello There pour déclencher la vulnérabilité dans une session de chat avec un utilisateur cible.
L'attaque a ensuite secrètement pillé chaque message Microsoft Teams rédigé par la victime.
"Finalement, l'attaquant pourrait accéder à toutes les données des comptes Teams de votre organisation - rassemblant des informations confidentielles, des informations sur les réunions et le calendrier, des données concurrentielles, des secrets, des mots de passe, des informations privées, des plans d'affaires, etc.", a déclaré CyberArk dans son rapport.
Les chercheurs ont découvert la faille en examinant la manière dont Microsoft Teams reçoit et envoie des fichiers images sur la plate-forme de messagerie du lieu de travail.
Au fur et à mesure que les fichiers image sont partagés et stockés, le logiciel génère un jeton d'authentification numérique pour déterminer quels utilisateurs peuvent voir les images et lesquels ne le peuvent pas.
Les mêmes jetons d'accès sont stockés dans le navigateur de votre ordinateur en tant que cookie Internet.
Seuls les serveurs du domaine teams.microsoft.com devraient pouvoir récupérer le cookie, étant donné que les jetons d'authentification sont vitaux pour la sécurité du compte.
Cependant, CyberArk a découvert que deux sous-domaines à aadsync-test.teams.microsoft.com et data-dev.teams.microsoft.com étaient vulnérables pour une prise de contrôle, ouvrant la porte à un serveur contrôlé par un pirate informatique pour organiser l'attaque.
Si un attaquant peut en quelque sorte forcer un utilisateur à visiter les sous-domaines qui ont été repris, le navigateur de la victime enverra ce cookie au serveur de l'attaquant, a déclaré CyberArk.
"Après avoir fait tout cela, l'attaquant peut voler les données du compte Teams de la victime."
Amener un utilisateur à visiter le sous-domaine peut être accompli en trompant la victime à l'aide d'un message de phishing.
Cependant, CyberArk a réalisé que vous pouviez également reconditionner l'attaque en utilisant un GIF, qui contactera automatiquement le sous-domaine afin de charger l'image.
Recommandé par nos rédacteurs
"Lorsque la victime ouvre ce message, le navigateur de la victime essaiera de charger l'image et cela enverra le cookie authtoken au sous-domaine compromis", a déclaré la société.
"La victime ne saura jamais qu'elle a été attaquée, ce qui rend l'exploitation de cette vulnérabilité furtive et dangereuse."
La bonne nouvelle est que Microsoft a corrigé le problème le 20 avril, un mois après que CyberArk a signalé la faille à l'entreprise.
Bien que nous n'ayons vu aucune utilisation de cette technique dans la nature, nous avons pris des mesures pour assurer la sécurité de nos clients, a déclaré Microsoft à Daxdi.
La société souligne également que l'attaque nécessite plusieurs étapes, ce qui la rend difficile à réussir.
