Selon ProofPoint, Microsoft Teams est devenu une porte d’entrée privilégiée pour les cyberattaques. Elle fait désormais partie du top 10 des applications de Microsoft les plus attaquées. L’étude décrypte différentes méthodes utilisées par les cyberattaquants.

Spécialisé dans la cybersécurité, ProofPoint vient de publier une étude centrée sur les attaques contre Microsoft Teams. Selon ces résultats, le hub collaboratif est aujourd’hui l’une des dix applications les plus ciblées par les cybercriminels. L’étude repose sur l’analyse de 450 millions de sessions malveillantes, détectées pendant le second semestre 2022 et ciblant les utilisateurs de Microsoft 365 et Azure. Selon les résultats de ProofPoint, si Azure et Office sont toujours largement ciblés, Teams, côté client, arrive en 10eme position. Pour 40 % des organisations faisant partie de l’étude, au moins une tentative de connexion non autorisée à travers cet outil a été identifiée.

L’étude analyse notamment les techniques employées pour les attaques. Sans grande surprise, l’usurpation d’identité et de manipulation d’un compte déjà compromis comptent parmi les principales attaques. Autre moyenn lui aussi bien connu, certaines attaques s’en prennent directement aux URL d’invitations aux réunions et les remplacent par des liens malveillants. Mais les cyberattaquants savent aussi faire preuve de plus d’originalité et de technicité…

Des attaques originales et ciblées

Plus originale, l’utilisation d’onglets comme technique d’hameçonnage pour télécharger instantanément les logiciels malveillants, est ainsi de plus en plus utilisée. Chaque canal ou chat de Teams peut contenir des onglets supplémentaires créés par différentes applications. Par exemple, l’onglet « Fichiers », associé à SharePoint et OneDrive, est un onglet par défaut dans les chats personnels et de groupe. Les utilisateurs peuvent ajouter leurs propres onglets, mais ils ne peuvent normalement pas les renommer ou les déplacer. Cependant, ProofPoint a découvert qu’il est possible, via des appels API non documentés de Teams, de remplacer ces onglets par défaut par d’autres onglets personnalisés. Cette fonctionnalité peut être utilisée par des acteurs malveillants pour pointer vers un site malveillant, comme une page de hameçonnage se faisant passer pour une page de connexion à Microsoft 365 ou à tout autre service Web.

L’étude souligne également une autre méthode d’abus potentiellement dangereuse : l’exploitation des hyperliens dans les messages. Les attaquants peuvent utiliser l’API de Teams ou l’interface utilisateur pour « armer » les liens existants dans les messages envoyés. Cela peut être fait en remplaçant simplement les liens bénins par des liens pointant vers des sites web néfastes ou des ressources malveillantes. Dans ce scénario, l’hyperlien présenté ne serait pas modifié, même si l’URL derrière lui a été modifiée. Étant donné que l’API de Teams permet une énumération rapide et automatique et l’édition des liens inclus dans les messages de chat privé ou de groupe, un simple script exécuté par les attaquants pourrait armer d’innombrables URL en quelques secondes.

Il est important de noter que toutes ces méthodes d’abus nécessitent un accès préexistant à un compte utilisateur compromis ou à un jeton Teams. Rappelons toutefois qu’environ 60 % des locataires de Microsoft 365 ont subi au moins un incident de prise de contrôle de compte réussi en 2022. D’où l’insistance de Microsoft pour amener les entreprises à adopter la double authentification par défaut et à activer les mécanismes de contrôle de comptes fournis par l’éditeur.

Pour se protéger contre ces risques, ProofPoint recommande notamment de sensibiliser les utilisateurs à ces risques lors de l’utilisation de Microsoft Teams, d’identifier les attaquants accédant à Teams au sein de votre environnement cloud, d’isoler les sessions potentiellement malveillantes initiées par des liens intégrés dans les messages Teams, et de revoir l’utilisation de Microsoft Teams ou les accès à Teams si votre organisation est régulièrement ciblée.

 

À lire également :

Proofpoint vous protège contre des fournisseurs potentiellement compromis

7 tendances cybersécurité à surveiller de près…

Microsoft envisage de sortir Teams du bundle Office pour éviter l’enquête de l’UE

Un nouveau Teams deux fois plus rapide

Les avatars 3D arrivent dans Teams… en mai