Microsoft met en garde contre une utilisation croissante de Teams par des cybercriminels qui se font passer pour des employés du soutien technique ou du service informatique. Selon l’entreprise, ces attaquants exploitent les fonctions de collaboration entre organisations pour contacter des salariés, gagner leur confiance, puis obtenir un accès à distance à leur poste de travail.

Le scénario est simple, mais redoutablement efficace. L’attaquant engage une conversation dans Teams en prétendant devoir corriger un problème de compte ou appliquer une mise à jour de sécurité. L’objectif est de convaincre l’employé d’ouvrir une session d’assistance à distance, souvent à l’aide de Quick Assist, un outil légitime de Microsoft qui permet de prendre le contrôle d’un ordinateur.

Une fois cet accès obtenu, l’attaque entre dans une phase plus discrète. Les intrus effectuent d’abord une reconnaissance rapide du système compromis, en vérifiant les privilèges disponibles, l’appartenance au domaine de l’entreprise et la possibilité d’atteindre d’autres machines sur le réseau. Ils déposent ensuite de petits modules malveillants dans des emplacements accessibles à l’utilisateur, puis les exécutent en s’appuyant sur des applications signées et reconnues, afin d’éviter d’éveiller les soupçons.

Microsoft explique que cette méthode complique la détection, car les pirates utilisent surtout des outils légitimes et des protocoles administratifs natifs. Le trafic réseau généré se mêle ainsi aux opérations normales de l’entreprise. Les communications avec les serveurs de commande passent en HTTPS, ce qui les rend encore plus difficiles à distinguer d’une activité ordinaire.

L’entreprise décrit une chaîne d’attaque en neuf étapes. Après l’infection initiale, les assaillants cherchent à maintenir leur présence sur la machine compromise, notamment par des modifications dans le registre Windows. Ils tentent ensuite de se déplacer latéralement dans le réseau à l’aide de Windows Remote Management, en visant des systèmes joints au domaine et des actifs stratégiques, comme les contrôleurs de domaine.

La dernière phase consiste à collecter puis exfiltrer des données sensibles. Pour cela, les attaquants ont recours à des logiciels de gestion à distance supplémentaires ainsi qu’à des utilitaires comme Rclone, capables de transférer des fichiers vers des services infonuagiques externes. Microsoft précise que cette extraction est souvent ciblée, avec des filtres destinés à ne récupérer que les informations jugées utiles, tout en limitant le volume transféré pour rester discrets.

Face à cette menace, Microsoft recommande de considérer par défaut tout contact externe dans Teams comme non fiable. L’éditeur invite aussi les administrateurs à restreindre ou surveiller de près les outils d’assistance à distance et à limiter l’usage de WinRM aux systèmes strictement contrôlés. En clair, le danger ne vient plus seulement des logiciels malveillants classiques, mais aussi de l’usage détourné d’outils parfaitement légitimes, dans des attaques qui ressemblent de plus en plus à de simples opérations de soutien technique.

Source : Microsoft

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.