Origine: bjCSIRT
Numéro: 2021/ALERTE/027
Date de l’alerte: 17/06/2021
APERÇU :
Microsoft a récemment corrigé une vulnérabilité dans Microsoft Teams, permettant à toute personne malveillante d’accéder aux e-mails, aux messages Teams et des fichiers OneDrive.
DESCRIPTION :
Microsoft Teams dispose d’une fonctionnalité par défaut qui permet à un utilisateur de lancer de petites applications sous forme d’onglets dans n’importe quelle équipe dont il fait partie. L’attaque repose sur une vulnérabilité dans l’onglet Microsoft Power Apps.
La vulnérabilité est liée à une mauvaise validation du paramètre « makerPortalUrl » dans « apps.powerapps.com/teams/makerportal ». Le mécanisme de validation utilisé pour confirmer que le contenu de l’onglet provient d’une source de confiance vérifie uniquement qu’une URL donnée commence par « https://make.powerapps.com ». Un attaquant pourrait créer un sous-domaine « make.powerapps.com » sur un domaine qu’il contrôle (ex : make.powerapps.com.attacker.com), ce qui l’autorise à charger du contenu malveillant dans un onglet Power Apps.
Cette faille permettrait également de récupérer des jetons d’authentification en accédant à la communication de « Windows.postMessage » grâce auxquels des droits supplémentaires peuvent être acquis, comme créer des workflows automatisés pour accéder à des e-mails Outlook, des messages Teams ainsi que des fichiers OneDrive ou encore Sharepoint.
Toutefois, l’exploit de cette vulnérabilité est limité aux utilisateurs authentifiés au sein d’une organisation Teams qui ont la possibilité de créer ces onglets Power Apps. Cependant, l’autorisation étant activée par défaut, un contractant tiers pourrait lancer l’attaque.
IMPACT :
- Usurpation d’identité
- Compromission de messagerie électronique
- Elévation de privilèges
SYSTEMES AFFECTÉS :
- Microsoft Power Apps
- Microsoft Teams
MESURES À PRENDRE :
Il est impératif de mettre à jour Microsoft Teams vers la dernière version du logiciel.
REFERENCES :
- https://portswigger.net/daily-swig/vulnerability-in-microsoft-teams-granted-attackers-access-to-emails-messages-and-personal-files
- https://medium.com/tenable-techblog/stealing-tokens-emails-files-and-more-in-microsoft-teams-through-malicious-tabs-a7e5ff07b138
- https://www.globalsecuritymag.fr/Tenable-identifie-une-grave,20210614,112791.html
- https://www.lemondeinformatique.fr/actualites/lire-manomano-et-yogosha-chassent-les-failles-des-associations-83261.html
- https://fr.tenable.com/blog/vulnerability-in-microsoft-power-apps-service-allows-theft-of-emails-files-and-more?tns_redirect=true