ALERTE : Nouvel outil d’exploitation cible les conversations Microsoft Teams
Un nouvel outil d’exploitation,baptisé Cookie-Monster-BOF,permet aux attaquants d’accéder aux discussions et aux données des utilisateurs de Microsoft Teams. Découvert par Tier Zero Security et rendu public sur GitHub, cet outil exploite une vulnérabilité dans la manière dont Teams gère le cryptage des cookies.
Comment ça marche ?
L’outil déchiffre les cookies de Teams en utilisant la méthode AES-256-GCM, après avoir extrait des informations spécifiques des valeurs marquées “v10” dans la base de données de l’application. Une fois déchiffrés, ces cookies permettent aux attaquants de se faire passer pour des utilisateurs légitimes et d’accéder à des informations sensibles, notamment :
* Historique des conversations : Lecture des échanges passés.
* Messages : Accès au contenu des conversations en cours.
* Phishing ciblé : Envoi de messages malveillants au nom de la victime, facilitant ainsi les attaques d’ingénierie sociale et les mouvements latéraux au sein d’un réseau.
compatibilité et facilité d’utilisation :
Cookie-Monster-BOF est compatible avec les frameworks C2 (Command and Control) utilisant des charges utiles Beacon et ne nécessite aucun argument pour une utilisation basique, ce qui le rend accessible à un large éventail d’attaquants.
Risques et recommandations :
Cette vulnérabilité souligne une faiblesse persistante dans la sécurité de Teams par rapport aux navigateurs web renforcés. Les organisations doivent impérativement :
* Mettre en place une surveillance comportementale : Détecter les injections de processus suspects.
* Appliquer le principe du moindre privilège : Limiter les droits d’accès des utilisateurs et des applications.
* Déployer des règles de détection sur les points de terminaison : Cibler les accès à l’API DPAPI (Data Protection API) et les manipulations de handles d’affichage Web.
Contexte et enjeux à long terme :
L’essor du travail hybride et la dépendance croissante aux outils de collaboration comme Microsoft Teams rendent ces vulnérabilités particulièrement préoccupantes. Les entreprises doivent adopter une approche proactive en matière de sécurité, en effectuant des audits réguliers des composants de navigateur intégrés dans les applications de productivité.
Ce qu’il faut retenir :
La sécurité des outils de communication d’entreprise est un enjeu majeur. La vigilance et la mise en œuvre de mesures de sécurité robustes sont essentielles pour protéger les données sensibles et prévenir les attaques. Cette découverte rappelle l’importance de la mise à jour régulière des logiciels et de la sensibilisation des utilisateurs aux risques de phishing et d’ingénierie sociale.
