Microsoft Teams est particulièrement populaire depuis la mise en quarantaine d'une partie du globe. L'application de Microsoft permet ainsi de continuer à collaborer à distance, depuis son PC dans un espace de travail à la fois sécurisé et ouvert aux autres membres de sa société.

Microsoft Teams

Pourtant, il apparait qu'une faille de sécurité a pu permettre de contourner les protections en place pour détourner des comptes utilisateur.

C'est CyberArk qui a annoncé avoir découvert la vulnérabilité au sein du service de Microsoft. La faille reposait sur le système de jetons temporaires créés à chaque ouverture de l'application par l'utilisateur puis lors de l'accès à chaque service distinct. Deux cookies étaient alors créés pour limiter les autorisations d'accès au contenu baptisés "Authtoken" et "Skypetoken_asm". Le jeton Skype était ensuite envoyé à Teams.microsoft.com ainsi qu'aux sous-domaines.

Le problème réside dans le fait que deux sous-domaines étaient vulnérables à un rachat de sous-domaine. En contraignant l'utilisateur à visiter un sous-domaine vérolé, on pouvait alors récupérer le cookie pour créer un jeton Skype et voler ensuite les données du compte Teams de la cible. La redirection vers le sous-domaine compromis pouvait alors se faire via une URL ou un fichier Gif.

Le scénario d'attaque est particulièrement complexe et il est peu probable que Teams ait souffert de l'exploitation de cette faille. Microsoft a par ailleurs rapidement réagi pour corriger le tir.