Une vulnérabilité Microsoft Teams qui touche tous les utilisateurs du service qui utilisent l'application sous Windows, Mac ou Linux.

Équipes Microsoft est une plateforme de packages intégrée Microsoft 365. Le service est utilisé dans le monde par près de 300 millions d'utilisateurs pour la vidéoconférence, les appels vocaux, les messages texte et le partage de fichiers stockés. Utilisé notamment pour les entreprises et le bureau, il est supposé que Microsoft Teams pour Windows, Linux et Mac devrait disposer d'une norme de sécurité pertinente à l'heure actuelle. Cependant, il semble que pour Microsoft, le cryptage n'ait que peu d'importance.

En août (2022), une équipe d'analystes en sécurité a découvert un Vulnérabilité de Microsoft Teams qu'il semble que Microsoft n'ait pas compliqué à résoudre jusqu'à présent.

Vulnérabilité des équipes de Microsoft – Le jeton d'authentification non chiffré

Le problème de sécurité découvert réside dans le stockage non crypté des jetons d'authentification dans l'application Microsoft Teams pour Windows, Mac et Linux. Plus précis user authentication tokens sont conservés dans cleartext.

Cela signifie que si un attaquant a accès à un ordinateur sur lequel il est installé Équipes Microsoft, il pourra récupérer les identifiants d'authentification de l'application et se connecter au compte de la victime. De plus, l'attaquant sécurise l'accès à Microsoft Graph API même si le compte est protégé par MFA (Multi-factor authentication). Aucun logiciel malveillant avancé ni autorisation spéciale n'est nécessaire pour accéder aux fichiers contenant des jetons d'authentification.

• Office 365 devient Microsoft 365 avec l'équipe Microsoft incluse
• Une autre vulnérabilité découverte en Java
• Une nouvelle vulnérabilité critique à Internet Explorer met en danger les systèmes Windows
• Vulnérabilité dans le système d'exploitation Windows (32 bits), 17 ans
• Vulnérabilité critique découverte dans WooCommerce – Milioane de magazine online ar putea fi compromise

Cette vulnérabilité (si je peux l’appeler ainsi) peut affecter de nombreuses entreprises à travers le monde. Des conversations professionnelles, des réunions d'organisation, des séances de travail en équipe, des entretiens d'embauche ont lieu et des données confidentielles sont envoyées sur Microsoft Teams.

Le plus inquiétant est que ce problème a été signalé par Peuples Connor (analyste en cybersécurité) depuis août 2022, et jusqu’à présent (moitié de septembre 2022) Microsoft n’a pris aucune mesure.

Jusqu'à ce que Microsoft corrige cette vulnérabilité de Microsoft Teams, les utilisateurs peuvent se protéger en utilisant la version Web de l'application.

En 2022, gardant les données sensibles en clair, encore plus de jetons d'authentification, il me semble que Microsoft utilise les techniques des années 90 quand Yahoo! Messenger collez les conversations locales au format texte. Microsoft propose quelque chose en plus. Conservez les données d'authentification.