Accepter une invitation d’invité Teams peut déplacer les utilisateurs vers un locataire non protégé, contournant ainsi tous les contrôles de Defender pour Office 365.
Une faille récemment mise en évidence dans le modèle de collaboration entre locataires de Microsoft montre qu’une fois qu’un utilisateur accepte une invitation d’invité dans Teams, ses protections Defender pour Office 365 sont entièrement supprimées, le laissant exposé au sein d’un locataire externe même s’il est connecté avec son compte personnel.
Selon Rhys Downing, chercheur en menaces chez Ontinue, l’une des fonctionnalités récemment activées par Microsoft, « MC1182004 », qui permet aux utilisateurs de Teams de lancer des discussions avec n’importe quelle adresse e-mail, ouvre un vecteur d’attaque pour les acteurs malveillants qui connaissent les limites de sécurité entre locataires.
« De nombreuses organisations supposent que leurs contrôles « suivent » l’utilisateur partout où il va », a déclaré Julian Brownlow Davies, vice-président senior, stratégie et opérations de sécurité offensives chez Bugcrowd. « En réalité, les attaquants peuvent créer un client mal sécurisé, inviter vos utilisateurs avec ce qui ressemble à un e-mail Microsoft Teams parfaitement légitime et fournir des liens et des fichiers qui ne touchent jamais du tout votre propre pile Defender. »
Cela signifie que la suite complète des protections Defender, y compris l’analyse d’URL, les liens sécurisés, le sandboxing de fichiers et la purge automatique zéro heure, peut simplement être désactivée, transformant ainsi une invitation à une collaboration apparemment inoffensive en une voie d’attaque.
Une nouvelle valeur par défaut déclenche une faille architecturale
Downing a expliqué dans un article de blog que le problème n’est pas un bug logiciel dans Teams, mais une réalité architecturale de la collaboration entre locataires. Lorsqu’un utilisateur rejoint un autre locataire en tant qu’invité, les paramètres de sécurité du locataire d’hébergement (ressource) s’appliquent, et non celui du locataire d’origine (domicile) de l’utilisateur.
Par conséquent, toutes les protections fournies par Defender pour Office 365 sont contournées si le locataire de la ressource les a désactivées ou ne les a jamais eues en premier lieu.
Faciliter une attaque est la fonctionnalité activée par défaut dans Teams, MC1182004, qui permet aux utilisateurs de démarrer une discussion avec n’importe quelle adresse e-mail, même si le destinataire ne fait pas encore partie de Teams. Cela signifie que les attaquants peuvent simplement lancer un client Microsoft 365, inviter les victimes par courrier électronique et fournir des liens de phishing ou des logiciels malveillants, le tout sans déclencher la propre pile de sécurité de la victime.
Davies a fait écho à l’argument de Downing selon lequel il s’agit d’une conséquence architecturale du fonctionnement de la collaboration entre locataires. « Chez Bugcrowd, nous constatons le même schéma dans les programmes de tests participatifs, en particulier dans nos engagements Red Team : une grande partie du risque réside désormais dans la connectivité entre les locataires, les systèmes d’identité et les outils de collaboration, plutôt que dans les applications individuelles elles-mêmes », a-t-il déclaré.
Les mesures d’atténuation incluent le contrôle des collaborations
Jason Soroko, chercheur principal chez Sectigo, prévient qu’il ne s’agit pas d’un simple « bug de contournement », mais d’un angle mort dans le modèle mental de nombreuses organisations en matière de risque entre locataires. « Les équipes de sécurité devraient réagir en traitant l’accès des invités externes comme une limite de confiance qui nécessite une gouvernance explicite plutôt que comme une fonctionnalité pratique qui peut rester activée par défaut », a-t-il déclaré.
Downing a recommandé de restreindre les invitations d’invités B2B à une liste autorisée vérifiée de domaines partenaires de confiance et de mettre en œuvre des politiques d’accès entre locataires dans Microsoft Entra ID pour bloquer les accès suspects de locataires invités afin de garder une longueur d’avance sur cette menace inhérente.
Une autre atténuation clé consiste à désactiver la fonctionnalité par défaut « discuter avec n’importe qui » dans Teams, qui permet aux invitations externes non sollicitées d’atteindre les utilisateurs. Il s’agit d’une étape pratique pour de nombreuses organisations qui peuvent simplement le faire via le centre d’administration Teams en renforçant les politiques externes. Conjuguée à l’avertissement Entra ID de septembre, la divulgation souligne qu’un réel danger réside dans les lacunes entre les locataires Microsoft, où les défauts de commodité et la confiance mal placée continuent de dépasser la sécurité.
