Une vulnérabilité dans Microsoft Teams pourrait permettre à un acteur malveillant de voler des données sensibles et d'accéder aux communications d'une victime. Le bug, qui a maintenant été corrigé, permettait à un attaquant de voler les courriels, les messages Teams et les fichiers OneDrive d'une victime, ainsi que d'envoyer des courriels et des messages en son nom. Il a été découvert par Evan Grant, un ingénieur de recherche chez Tenable, qui a détaillé le problème de sécurité dans un article de blog publié le 15 juin.

Malgré la simplicité du bug, l'attaque elle-même est assez compliquée et nécessite une connaissance pratique des fonctionnalités Microsoft Power Apps et Power Automation. L'acteur malveillant devrait être membre de l'organisation Microsoft Teams qu'il attaque, ce qui signifie que cela ne fonctionnerait que dans le contexte d'une attaque de menace interne.

L’attaquant pourrait se déguiser en victime et envoyer des e-mails et des messages en son nom, ce qui lui permettrait potentiellement de mener d'autres attaques d' ingénierie sociale au sein de l'organisation.

Il s'agit de vulnérabilités qui existent sur les serveurs qui alimentent les applications, les logiciels et les services de Microsoft. La vulnérabilité provient en fait du service PowerApps que Microsoft propose aux entreprises. Cela leur permet de créer des cas d'utilisation spécifiques à l'entreprise sur les produits Microsoft, tels que Teams, Excel, etc. Les attaquants pourraient exploiter le manque de vérification d'URL dans PowerApps pour exploiter les utilisateurs d'une entreprise. Si cet utilisateur fait partie d'une organisation Office 365/Teams avec une licence Business Basic ou supérieure, il a également accès à un ensemble d'onglets Teams qui se composent d'applications Microsoft Power Apps. Dans une version non corrigée de Teams, un acteur pourrait mettre en place un onglet malveillant qui, une fois ouvert par la victime, lui permettrait d'accéder à ses documents et communications privés .

Les utilisateurs de Microsoft Teams sont invités à mettre à jour vers la dernière version du logiciel pour se protéger contre la vulnérabilité.