Teams

  • ServiceNow s’intĂšgre Ă  Teams

    L’éditeur spĂ©cialisĂ© dans l’ITSM annonce l’intĂ©gration d’une poignĂ©e de nouvelles fonctionnalitĂ©s dans l’outil collaboratif de Microsoft. Sont inclus un outil de gestion des incidents et un Chat-to-Call. 

    ServiceNow multiplie les intĂ©grations. En dĂ©but de semaine, le spĂ©cialiste de l’ITSM s’est rapprochĂ© d’UiPath. Cet Ă©diteur de solutions de RPA a approfondi ses intĂ©grations avec ServiceNow, Ă  travers un gestionnaire de tĂąches UiPath pour ServiceNow. Sont au menu l'automatisation des cas de test et la supervision des rĂ©sultats dans un backlog centralisĂ© fourni par ServiceNow. 

    Deux jours plus tard, c’est avec Microsoft que ServiceNow annonce des intĂ©grations, en l’occurrence dans la plateforme collaborative Microsoft Teams. “Les innovations annoncĂ©es aujourd'hui soutiennent les agents via le modĂšle de main-d'Ɠuvre distribuĂ©e en facilitant des lignes de communication rapides et directes au sein de Microsoft Teams” est-il prĂ©cisĂ©. 

    Gestion d'incidents

    Plus concrĂštement, les agents peuvent dĂ©sormais inviter un employĂ© Ă  un appel Teams Ă  partir d’une fenĂȘtre de chat. Cette fonctionnalitĂ© baptisĂ©e Chat-to-Call permet Ă©galement les appels vidĂ©o et le partage d'Ă©cran, afin de “rĂ©duire considĂ©rablement le temps de rĂ©solution en diagnostiquant rapidement un incident”. Enfin, un outil de gestion des incidents majeurs permet aux responsables de mettre en oeuvre un processus structurĂ© de rĂ©solution des incidents en collaborant au sein d’un groupe dĂ©diĂ©. La Now Platform permet en outre de capturer et de partager les activitĂ©s clĂ©s relatives Ă  la gestion de cet incident afin de permettre Ă  l’avenir une rĂ©ponse plus rapide. 

    “Les responsables disposent dĂ©sormais des ressources nĂ©cessaires pour se prĂ©parer Ă  une augmentation des incidents et des demandes lorsque les employĂ©s retournent au lieu de travail physique et ont besoin d'aide pour leur transition vers le bureau” explique ServiceNow.

  • Une vilaine faille dĂ©couverte dans Microsoft Teams

    Elle n’est pas spĂ©cialement simple Ă  exploiter, mais cette vulnĂ©rabilitĂ© peut avoir des consĂ©quences dĂ©sastreuses. NichĂ©e dans l’outil collaboratif, elle permet via Power Apps d’accĂ©der aux donnĂ©es entrĂ©es par un utilisateur dans Teams et, par ricochet, dans divers services tiers.

    Avec 145 millions d’utilisateurs, Teams s’est dĂ©finitivement imposĂ© comme l’outil collaboratif de rĂ©fĂ©rence auprĂšs de la majoritĂ© des organisations. Alors imaginez un peu si une faille de sĂ©curitĂ© permettait de rĂ©cupĂ©rer mails, discussions, SharePoint, OneDrive et autres donnĂ©es venues des API de services tiers
 un vĂ©ritable cauchemar en somme. Et c’est pourtant ce que permettait la vulnĂ©rabilitĂ© dĂ©couverte par Evan Grant, chercheur chez Tenable.

    Le problĂšme ici, ce sont les onglets Power Apps. Lorsqu’un onglet est crĂ©Ă© pour la premiĂšre fois, il « exĂ©cute un processus de dĂ©ploiement qui utilise les informations recueillies Ă  partir du domaine make.powerapps.com pour installer l'application dans l’environnement de l'Ă©quipe Â». Ce faisant, l’onglet ouvre un iframe sur une page d'un domaine spĂ©cifiĂ© comme approuvĂ© dans le manifeste de cette application. Et c’est Ă  partir de lĂ  que les choses deviennent intĂ©ressantes.

    Une vérification incomplÚte

    Le chercheur observe que l’iframe n’est chargĂ© sur le makerPortalURL si et seulement si ce dernier commence par https://make.powerapps.com. Tout autre dĂ©but d’URL dirigera vers une page vide. Mais la validation s’arrĂȘte Ă  cette URL prĂ©cise, sans vĂ©rifier l’ensemble du domaine. Ce qui permet au chercheur de crĂ©er une URL https://make.powerapps.com.fakecorp.ca/ qui va charger son propre contenu dans l’iframe.

    Or la page make.powerapps.com communique avec Teams et l’iframe en utilisant Javascript PostMessage. Evan Grant, a l’aide d’une extension Chrome, Ă©tait donc en mesure de lire ces PostMessage entre les deux services dĂšs que l’onglet est installĂ© et lancĂ©. Avec ce message en particulier : « GET_ACCESS_TOKEN Â». « L’iframe que nous avons substituĂ© obtenait des token d'accĂšs de sa fenĂȘtre parente sans passer aucune sorte d'authentification Â» dĂ©crit le chercheur. Et Ă  partir de lĂ , c’est open bar sur le compte Teams de l’organisation ciblĂ©e.

    Un impact considérable

    Certes, cette attaque est particuliĂšrement compliquĂ©e, Evan Grant lui-mĂȘme le reconnaĂźt. D’autant que la crĂ©ation d’onglets Power Tabs est limitĂ©e aux seuls utilisateurs authentifiĂ©s. Ce qui n’empĂȘche en rien la compromission des informations d’authentification d’un utilisateur lĂ©gitime, d’autant que la possibilitĂ© de crĂ©er des onglets est activĂ©e par dĂ©faut. Sans parler d’employĂ©s mĂ©contents et d’autres menaces internes.

    « L'impact potentiel d'une telle attaque pourrait ĂȘtre Ă©norme, surtout si elle touche un administrateur de l'organisation Â» Ă©crit le chercheur. « Qu'un si petit bogue initial (la validation incorrecte du domaine make.powerapps.com) puisse ĂȘtre utilisĂ©e jusqu'Ă  ce qu'un attaquant exfiltre des e-mails, des messages Teams, des fichiers OneDrive et SharePoint est dĂ©finitivement prĂ©occupant Â». Surtout, il permet la compromission de services tiers auxquels Teams est connectĂ©.

    Cette vulnérabilité a été découverte en mars dernier et a heureusement été corrigée par Microsoft depuis, un correctif qui a mené à la publication de cette recherche par Tenable.

  • Une vilaine faille dĂ©couverte dans Microsoft Teams