Des chercheurs ont découvert une faille dans la récente mise à jour de Microsoft Teams, permettant à des sources tierces d’envoyer des fichiers aux employés de l’entreprise, une activité habituellement bloquée. Ce bogue ouvre aux cybercriminels une voie moins compliquée et moins coûteuse pour introduire des logiciels malveillants dans les entreprises ciblées, en contournant les campagnes d’hameçonnage sophistiquées. Notamment, Microsoft n’a pas l’intention de faire de cette question une priorité.

Max Corbridge et Tom Ellson, de l’équipe rouge de JUMPSEC Labs, ont identifié la faille dans la fonction “External Tenants” de Microsoft Teams. Cette faille permet aux cybercriminels d’infiltrer des logiciels malveillants dans des fichiers envoyés aux employés d’une organisation, évitant ainsi la plupart des défenses anti-phishing modernes.

Selon M. Corbridge, “cette vulnérabilité affecte toutes les organisations qui utilisent Teams dans sa configuration par défaut”. Les cybercriminels pourraient exploiter ce bogue pour échapper à de nombreux contrôles de sécurité standard pour la livraison des charges utiles, a-t-il souligné.

Microsoft Teams est principalement utilisé pour la communication inter-organisationnelle. Il permet à des utilisateurs extérieurs à l’entreprise de contacter ses employés en raison de la configuration par défaut de Microsoft. Cela permet aux cybercriminels d’utiliser l’application pour diffuser des logiciels malveillants. Corbridge et Ellson ont contourné les contrôles de sécurité côté client en l’espace de 10 minutes. Cela a permis d’éviter que des locataires externes n’envoient des fichiers potentiellement dangereux à des utilisateurs internes.

Un domaine Sharepoint de confiance envoie la charge utile malveillante sous forme de fichier dans la boîte de réception Teams de la cible. Il hérite de la réputation de confiance de Sharepoint au lieu d’un site web d’hameçonnage nuisible.

Après avoir signalé le bogue à Microsoft, l’entreprise a validé sa légitimité mais a déclaré qu’il ne nécessitait pas de “réparation immédiate”. Les chercheurs ont proposé des mesures d’atténuation. Il s’agit notamment d’ajuster les paramètres de sécurité pour limiter la communication à des domaines spécifiques et d’informer le personnel sur les risques potentiels d’ingénierie sociale associés aux applications de productivité.

Si ces mesures d’atténuation ne sont pas réalisables, les chercheurs suggèrent aux organisations d’utiliser des journaux de proxy Web. Ces journaux peuvent fournir des alertes ou une visibilité sur les membres du personnel qui acceptent des demandes de messages externes, renforçant ainsi leurs mesures de cybersécurité.

Malgré la simplicité de cette approche, le défi consiste à transformer ces données en un outil de télémétrie utile. Pour l’instant, il ne fournit pas de détails spécifiques tels que les noms d’utilisateur ou le contenu du message en question. Cependant, elle donne une idée de la fréquence de ce type de transaction au sein d’une organisation. Il pourrait s’agir d’une information vitale pour l’élaboration de nouvelles stratégies d’atténuation.

Cette découverte incite les organisations à prendre des mesures immédiates pour assurer la sécurité maximale de leurs outils de communication numérique et de partage de fichiers. Il s’agit notamment de procéder à des audits de sécurité réguliers, de mettre à jour les logiciels avec les derniers correctifs et améliorations de sécurité, et de former les employés aux risques potentiels de cybersécurité associés à ces outils.

Cette dernière faille met en évidence les menaces permanentes et évolutives auxquelles sont confrontées les organisations dans le paysage numérique d’aujourd’hui. Alors que les outils de collaboration numérique tels que Microsoft Teams sont de plus en plus utilisés, les fournisseurs de logiciels et les organisations doivent rester vigilants et proactifs dans leurs efforts de cybersécurité afin de se prémunir contre de telles vulnérabilités.

Microsoft n’a pas encore fourni de déclaration officielle ou de plan de réponse concernant la faille de Microsoft Teams découverte par Corbridge et Ellson. Les organisations sont donc invitées à mettre en œuvre les mesures d’atténuation suggérées et à rester attentives à toute mise à jour.