Une vulnérabilité a été découverte dans les clients de bureau Microsoft Teams pour Windows, macOS et Linux construits à l’aide du framework Microsoft Electron qui pourrait permettre à un attaquant potentiel de prendre le contrôle des communications de l’entreprise. Les applications stockent les jetons d’autorisation en clair, ont découvert les experts en cybersécurité de Vectra .

Source de l'image : Mika Baumeister / unsplash.com

Source de l’image : Mika Baumeister / unsplash.com

Selon Vectra, un pirate ayant un accès local ou distant au système peut voler les informations d’identification de tout utilisateur Teams en ligne, puis les usurper, même s’ils se déconnectent. L’exploitation de cette vulnérabilité pourrait également usurper l’identité d’un utilisateur dans les services liés à Teams, notamment Skype ou Outlook. Se faisant passer pour quelqu’un d’autre, un attaquant potentiel a la possibilité d’interférer avec les communications de l’entreprise et de mener des attaques de phishing. Les experts de Vectra ont démontré l’exploit en envoyant un message au nom de l’un des utilisateurs de Teams.

Le problème ne concerne que la version de bureau de l’application, car la plate-forme Electron ne dispose pas de solides mécanismes de protection des cookies, contrairement aux navigateurs modernes. Cela signifie que l’utilisation du client Web est plus sécurisée – il est recommandé de l’utiliser uniquement jusqu’à ce que l’erreur soit corrigée. La situation est compliquée par le fait qu’en réponse à un message sur la découverte d’une vulnérabilité, Microsoft a déclaré que la priorité de publication d’un correctif « ne respecte pas la barre pour un service immédiat », car un attaquant potentiel a besoin au moins d’un accès à le réseau de l’entreprise pour l’exploiter. Cependant, la mise à jour sera toujours publiée, bien qu’il ne soit pas précisé quand exactement.

Si vous remarquez une erreur, sélectionnez-la avec la souris et appuyez sur CTRL + ENTRÉE.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.