Un chercheur en sécurité a découvert que les attaquants pouvaient abuser de la fonctionnalité d’autocollant populaire de Microsoft Teams pour mener des attaques de script intersite (XSS).

Microsoft Teams, ainsi que des services de téléconférence comparables, dont Zoom, ont connu un regain de popularité au cours des dernières années.

La pandémie de Covid-19 a forcé les organisations à adopter des modèles de travail à domicile dans la mesure du possible. Dans la foulée, les employés ont souvent eu la possibilité de rester à distance ou de devenir hybride.

Avec autant d’utilisateurs, toute vulnérabilité dans Microsoft Teams pourrait avoir un impact généralisé. À ce titre, des chercheurs en cybersécurité, dont Numan Turle, spécialiste principal de la cybersécurité chez Gais Cyber ​​Security, ont examiné le logiciel à la recherche de failles potentielles.

Sujet collant

En 2021, Turle a découvert CVE-2021-24114. A émis un score CVSS de 5,7, le bogue a été découvert dans le processus de prévisualisation des images envoyées via Teams à fuite de jetons Skype (PDF) et déclencher une vulnérabilité de prise de contrôle de compte dans Teams iOS.

Un an plus tard, le chercheur a décidé d’examiner Microsoft Teams fonction d’autocollant pour les nouveaux problèmes de sécurité.

EN RELATION Une vulnérabilité dans Microsoft Teams permettait aux attaquants d’accéder aux e-mails, aux messages et aux fichiers personnels

Lorsqu’un autocollant est envoyé via Teams, la plateforme le convertit en image et télécharge le contenu en tant que « RichText/HTML » dans le message suivant.

Turle a inspecté la requête HTML à l’aide de Burp Suite et a essayé les attributs typiques – en vain, en raison des protections offertes par la politique de sécurité du contenu (CSP) de Microsoft.

CSP est conçu pour atténuer une gamme d’attaques Web courantes, y compris XSS.

Cependant, après avoir branché le CSP sur Google Outil d’évaluation CSPle chercheur a trouvé un défaut CSP – le script-src a été signalé comme dangereux, ce qui a ouvert la voie à de potentielles attaques par injection HTML contre plusieurs domaines.

Essayer un angle différent

Microsoft avait colmaté ces failles de sécurité via les changements de domaine Azure. Ainsi, après avoir creusé plus profondément et inspecté le navigateur Teams, Turle a découvert un élément JavaScript, angulaire-jqueryqui pourrait être utilisé comme alternative.

jQuery avec Angular est un framework JavaScript pour gérer les interactions HTML et CSS. Cependant, cette version était obsolète et les vulnérabilités de la version obsolète (1.5.14) pouvaient être utilisées pour contourner le CSP.

Après avoir créé une iframe malveillante à l’aide de l’encodage HTML, le chercheur a pu créer une charge utile malveillante, envoyée via la fonction d’autocollants dans Teams, pour déclencher XSS, obtenue grâce à l’interaction de l’utilisateur.

Turle a divulgué le problème XSS à Microsoft le 6 janvier. La vulnérabilité a été corrigée en mars et le chercheur a reçu une prime de bogue de 6 000 $.

La gorgée quotidienne a contacté Gais Cyber ​​Security et Microsoft et nous mettrons à jour lorsque nous vous répondrons.

Tous les détails peuvent être trouvés dans un article de blog technique de Turlé.

INTERVIEW Le fondateur du navigateur Vivaldi, Jon von Tetzchner, place la confidentialité au centre du développement