La livraison de logiciels malveillants aux utilisateurs de Microsoft Teams simplifiée

Un outil qui automatise la diffusion de logiciels malveillants par des attaquants externes vers la boîte de réception Microsoft Teams des employés ciblés a été publié.

TeamsPhisher (Source : Alex Reid)

À propos de la vulnérabilité exploitée

Comme l’ont noté les chercheurs de Jumpsec Max Corbridge et Tom Ellson, la configuration par défaut de Microsoft Teams permet aux locataires externes (c’est-à-dire aux utilisateurs M365 extérieurs à l’organisation) d’envoyer des messages aux employés d’une organisation.

La même configuration ne permet pas aux locataires externes d’envoyer des fichiers, mais cette restriction peut être contournée en changeant l’ID de destinataire interne et externe sur la demande POST, ont découvert les chercheurs.

“Lorsque cette vulnérabilité est combinée à l’ingénierie sociale via Teams, il devient très facile de démarrer une conversation dans les deux sens, de sauter sur un appel, de partager des écrans, et plus encore”, a expliqué Corbridge.

Microsoft affirme que la faille ne “répond pas à la barre pour un service immédiat” puisque l’exploitation réussie dépend de l’ingénierie sociale.

À propos de TeamsPhisher

TeamsPhisher est un outil basé sur Python créé par l’équipe de lecture de l’US Navy Alex Reid qui permet aux attaquants (autorisés ou non) de fournir des pièces jointes aux utilisateurs de Microsoft Teams.

TeamsPhisher intègre la technique de Corbridge et Ellson pour manipuler les requêtes Web Teams, des techniques antérieures divulgué par l’équipe de lecture Andrea Santese, et utilise le TeamsEnum Script Python (par le consultant en sécurité Secure Systems Engineering Bastian Kanbach) pour trouver les utilisateurs Microsoft Teams existants.

“TeamsPhisher exige que les utilisateurs aient un compte Microsoft Business (par opposition à un compte personnel, par exemple @hotmail, @outlook, etc.) avec une licence Teams et Sharepoint valide. Cela signifie que vous aurez besoin d’un locataire AAD et d’au moins un utilisateur avec une licence correspondante. Au moment de la publication, certaines licences d’essai gratuites sont disponibles dans le centre de licences AAD qui remplissent les conditions requises pour cet outil », a déclaré Reid. expliqué.

L’utilisation de l’outil est simple : l’équipe de lecture / l’attaquant fournit la pièce jointe malveillante, un message et une liste d’utilisateurs cibles de Teams. La pièce jointe est téléchargée sur le Sharepoint de l’expéditeur.

TeamsPhisher trouve l’utilisateur cible, puis crée une nouvelle discussion de groupe en incluant deux fois l’e-mail de la cible.

E-mail de phishing envoyé via TeamsPhisher – Du point de vue de la cible (Source : Alex Reid)

“Avec le nouveau fil créé entre notre expéditeur et la cible, le message spécifié sera envoyé à l’utilisateur avec un lien vers la pièce jointe dans Sharepoint”, a-t-il conclu.

L’outil a également la possibilité de faire en sorte que les cibles s’authentifient pour afficher la pièce jointe dans Sharepoint – une étape qui peut simplement convaincre la cible de le faire.

Que faire jusqu’à ce que la faille soit corrigée

Reid a souligné que les organisations peuvent atténuer le risque posé par cette vulnérabilité en gérant les options liées à l’accès externe via le centre d’administration Microsoft Teams. “Microsoft offre aux organisations la flexibilité de choisir les meilleures autorisations pour répondre à leurs besoins, y compris un bloc universel ainsi que la liste blanche uniquement des locataires externes spécifiques pour les communications.”

Microsoft a exhorté les clients à être prudents lorsqu’ils cliquent sur des liens vers des pages Web, ouvrent des fichiers inconnus ou acceptent des transferts de fichiers.