Elle nâest pas spĂ©cialement simple Ă exploiter, mais cette vulnĂ©rabilitĂ© peut avoir des consĂ©quences dĂ©sastreuses. NichĂ©e dans lâoutil collaboratif, elle permet via Power Apps dâaccĂ©der aux donnĂ©es entrĂ©es par un utilisateur dans Teams et, par ricochet, dans divers services tiers.
Avec 145 millions dâutilisateurs, Teams sâest dĂ©finitivement imposĂ© comme lâoutil collaboratif de rĂ©fĂ©rence auprĂšs de la majoritĂ© des organisations. Alors imaginez un peu si une faille de sĂ©curitĂ© permettait de rĂ©cupĂ©rer mails, discussions, SharePoint, OneDrive et autres donnĂ©es venues des API de services tiers⊠un vĂ©ritable cauchemar en somme. Et câest pourtant ce que permettait la vulnĂ©rabilitĂ© dĂ©couverte par Evan Grant, chercheur chez Tenable.
Le problĂšme ici, ce sont les onglets Power Apps. Lorsquâun onglet est crĂ©Ă© pour la premiĂšre fois, il « exĂ©cute un processus de dĂ©ploiement qui utilise les informations recueillies Ă partir du domaine make.powerapps.com pour installer l'application dans lâenvironnement de l'Ă©quipe ». Ce faisant, lâonglet ouvre un iframe sur une page d'un domaine spĂ©cifiĂ© comme approuvĂ© dans le manifeste de cette application. Et câest Ă partir de lĂ que les choses deviennent intĂ©ressantes.
Une vérification incomplÚte
Le chercheur observe que lâiframe nâest chargĂ© sur le makerPortalURL si et seulement si ce dernier commence par https://make.powerapps.com. Tout autre dĂ©but dâURL dirigera vers une page vide. Mais la validation sâarrĂȘte Ă cette URL prĂ©cise, sans vĂ©rifier lâensemble du domaine. Ce qui permet au chercheur de crĂ©er une URL https://make.powerapps.com.fakecorp.ca/ qui va charger son propre contenu dans lâiframe.
Or la page make.powerapps.com communique avec Teams et lâiframe en utilisant Javascript PostMessage. Evan Grant, a lâaide dâune extension Chrome, Ă©tait donc en mesure de lire ces PostMessage entre les deux services dĂšs que lâonglet est installĂ© et lancĂ©. Avec ce message en particulier : « GET_ACCESS_TOKEN ». « Lâiframe que nous avons substituĂ© obtenait des token d'accĂšs de sa fenĂȘtre parente sans passer aucune sorte d'authentification » dĂ©crit le chercheur. Et Ă partir de lĂ , câest open bar sur le compte Teams de lâorganisation ciblĂ©e.
Un impact considérable
Certes, cette attaque est particuliĂšrement compliquĂ©e, Evan Grant lui-mĂȘme le reconnaĂźt. Dâautant que la crĂ©ation dâonglets Power Tabs est limitĂ©e aux seuls utilisateurs authentifiĂ©s. Ce qui nâempĂȘche en rien la compromission des informations dâauthentification dâun utilisateur lĂ©gitime, dâautant que la possibilitĂ© de crĂ©er des onglets est activĂ©e par dĂ©faut. Sans parler dâemployĂ©s mĂ©contents et dâautres menaces internes.
« L'impact potentiel d'une telle attaque pourrait ĂȘtre Ă©norme, surtout si elle touche un administrateur de l'organisation » Ă©crit le chercheur. « Qu'un si petit bogue initial (la validation incorrecte du domaine make.powerapps.com) puisse ĂȘtre utilisĂ©e jusqu'Ă ce qu'un attaquant exfiltre des e-mails, des messages Teams, des fichiers OneDrive et SharePoint est dĂ©finitivement prĂ©occupant ». Surtout, il permet la compromission de services tiers auxquels Teams est connectĂ©.
Cette vulnérabilité a été découverte en mars dernier et a heureusement été corrigée par Microsoft depuis, un correctif qui a mené à la publication de cette recherche par Tenable.