Exécution de code à distance dans Microsoft Teams

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro:  2020/ALERTE/016

Date de l’alerte: 08/12/2020

TLP: White

Aperçu de la menace

L’exécution de code à distance dans Microsoft Teams est une vulnérabilité d’exécution de code à distance (RCE) sans interaction des utilisateurs dans les applications de bureau Microsoft Teams qui permet à un attaquant d’exécuter du code en envoyant simplement un message de discussion et de compromettre le système d’une cible.

Cette vulnérabilité affecte Microsoft Teams pour Windows, Linux, MacOs et le Web (teams.microsoft.com) et a été marquée comme « Important Spoofing » par Microsoft.

Description

Microsoft Teams est une plateforme de communication d’entreprise propriétaire qui offre aux utilisateurs des fonctionnalités de discussion dans le cadre du travail, de stockage et de partage de fichiers, d’intégration d’applications et de vidéoconférence.

La vulnérabilité d’exécution de code à distance peut être déclenchée par une injection XSS (Cross-Site Scripting) dans teams.microsoft.com. Un message de discussion spécialement conçu peut être envoyé à n’importe quel membre ou canal de discussion de Microsoft Teams qui exécutera du code arbitraire sur les PC victimes sans interaction de l’utilisateur. L’exécution de code à distance a été réalisée dans les applications de bureau sur toutes les plates-formes prises en charge (Windows, MacOs, Linux). L’exécution de code donne aux attaquants un accès complet aux appareils victimes et aux réseaux internes de l’entreprise via ces appareils. Même sans exécution de code arbitraire sur l’appareil victime, avec le XSS, il est possible pour un attaquant d’obtenir des jetons d’autorisation SSO pour Microsoft Teams et d’autres services Microsoft (par exemple Skype, Outlook, Office365). De plus, la vulnérabilité XSS en elle-même permet d’accéder à des conversations confidentielles, à des fichiers, et à d’autres informations à partir de Microsoft Teams. Cette attaque peut être effectuée par des utilisateurs invités de manière totalement silencieuse, sans interaction de l’utilisateur ni indication de compromission.

Risques

  • Possibilité de répliquer automatiquement la charge utile de l’exploit vers d’autres entreprises, canaux, utilisateurs sans interaction ;

  • Exécution de commandes arbitraires sur les appareils victimes sans interaction avec la victime ;

  • Perte de confidentialité et d’intégrité pour les utilisateurs finaux ;

  • Accès aux discussions privées, aux fichiers, au réseau interne, aux clés privées et aux données personnelles en dehors de Microsoft Teams ;

  • Accès aux jetons SSO et donc à d’autres services Microsoft en plus de Microsoft Teams (Outlook, Office365 etc.) ;

  • Hameçonnage possible par redirection vers le site des attaquants ou en demandant l’entrée d’informations d’identification SSO ;

  • Keylogging (enregistrements de frappe) avec des charges utiles spécialement conçues.

Systèmes affectés

  • Microsoft Teams (teams.microsoft.com) – Scripts intersites

  • Microsoft Teams MacOs v 1.3.00.23764 (dernier en date du 2020-08-31)

  • Microsoft Teams Windows v 1.3.00.21759 (dernier en date du 2020-08-31)

  • Microsoft Teams Linux v 1.3.00.16851 (dernier en date du 2020-08-31)

Mesures à prendre

La mise à jour Microsoft d’Octobre 2020 permet de mitiger la vulnérabilité ;

Liens utiles

  • https://thehackernews.com/2020/12/zero-click-wormable-rce-vulnerability.html

  • https://thecybersecurity.news/general-cyber-security-news/zero-click-wormable-rce-vulnerability-reported-in-microsoft-teams-4235/

  • https://github.com/oskarsve/ms-teams-rce/blob/main/README.md

  • https://www.securityweek.com/wormable-zero-click-vulnerability-microsoft-teams

Partagez sur vos réseaux.