Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Einstein’s Wormhole : le bug qui permet de récupérer les informations des calendriers Outlook et Google à l’aide des utilisateurs invités de Salesforce

If your organization uses Salesforce Communities and Einstein Activity Capture, you might have unknowingly exposed your administrator's Outlook or Google calendar events to the internet due to a bug called...
Nitay Bachrach
4 minute de lecture
Publié 19 novembre 2021
Dernière mise à jour 2 février 2024
Si votre organisation utilise les communautés Salesforce et Einstein Activity Capture, les événements du calendrier Outlook ou Google de votre administrateur sont peut-être accessibles depuis Internet en raison d’un bug appelé Einstein’s Wormhole (Trou de ver d’Einstein en français), découvert par l’équipe de recherche de Varonis. Ces événements peuvent renfermer du contenu très sensible, comme le noms et l'adresse e-mail des participants, l'URL et le mot de passe des réunions, les ordres du jour, des pièces jointes et les réponses envoyées par e-mail à l’organisateur. Le problème a été remonté à Salesforce et rapidement corrigé par son équipe, connue pour sa compétence et sa réactivité. Toutefois, si votre communauté Salesforce a été créée avant le déploiement de la mise à jour Summer ’21, vous devez agir pour protéger les événements de calendrier exposés. Prenez sans attendre les mesures suivantes :
  1. Remplacez l’adresse e-mail de l’utilisateur invité par une adresse factice, comme test@example.com ou guest@yourcompany.com.
  2. Supprimez les événements sensibles du calendrier qu’Einstein a associé à votre utilisateur invité.
Vous trouverez des instructions plus détaillées dans la section Mesures d’atténuation. N’hésitez pas à contacter notre équipe si vous avez besoin d’aide pour auditer votre instance Salesforce. Poursuivez votre lecture pour découvrir dans le détail comment deux fonctions Salesforce qui n’ont apparemment rien à voir sont en réalité liées, et les implications de ce lien sur votre sécurité.
Contactez-nous dès aujourd'hui pour organiser une évaluation des risques personnalisée.
Demander un essai gratuit

Einstein Activity Capture

Einstein Activity Capture (EAC) est un outil qui vous permet de synchroniser vos e-mails et événements de calendrier entre vos comptes Microsoft Exchange ou Google et Salesforce. Il remplace Lightning Sync, une solution antérieure qui sera bientôt considérée comme obsolète. Dans cet article, nous parlons exclusivement d'Einstein Activity Capture, mais les concepts que nous allons aborder s'appliquent également à Lightning Sync. L'objectif d'Einstein Activity Capture est de doper la productivité de votre équipe commerciale en réunissant les e-mails pertinents de vos clients et vos réunions dans un seul et même système, Salesforce.

CleanShot-2021-10-28-at-09.34.28@2x

Einstein fait preuve d'intelligence : lorsque vous créez une réunion, il tente d'identifier d'autres personnes enregistrées dans Salesforce (utilisateurs, leads, contacts) pour synchroniser l'événement sur leur calendrier. Le processus est le suivant :

  • Salesforce se connecte au calendrier (Outlook ou Google) et récupère les événements.
  • La solution ajoute alors ces événements au calendrier Salesforce de l’utilisateur.
  • Elle analyse ensuite les participants à l’événement et recherche en interne des utilisateurs, leads et contacts ayant les mêmes adresses e-mail.
  • Si Salesforce trouve des correspondances, l’événement est ajouté à leurs propres calendriers Salesforce.
Pour en savoir plus sur le fonctionnement de la synchronisation des événements, rendez-vous ici.

Einstein’s Wormhole

Jusqu’à la mise à jour Summer ’21, les utilisateurs invités étaient associés à l’adresse e-mail de l’administrateur Salesforce.

Screen-Shot-2021-10-28-at-10.59.36-1

Reprenons maintenant le processus de synchronisation d’Einstein en tenant compte de ce détail. Imaginez que votre DSI envoie via Outlook une invitation à une réunion à l’administrateur Salesforce de l’entreprise (ou plutôt, l’administratrice dans le cas présent, que nous appellerons Judy). La réunion porte sur un sujet sensible, la feuille de route de l’entreprise, et inclut plusieurs intervenants clés. L’utilisateur invité ayant la même adresse e-mail que Judy, voici comment se déroulait ce processus avant la mise à jour Summer ’21 :

  • Salesforce trouve l’événement du DSI et identifie l’administratrice comme l’un des participants.
  • Salesforce recherche des utilisateurs et d’autres objets internes dont l’adresse e-mail correspond à celle des participants.
  • Salesforce trouve Judy, l’administratrice Salesforce, et synchronise l’événement sur son calendrier.
  • Salesforce trouve AUSSI l’utilisateur invité, et synchronise l’événement sur son calendrier.

Blog_EinsteinsWormhole_Diagram_202110_V3

Conséquence directe, l’événement et ses détails (participants, objet, numéro, lien Zoom et même réponses à l’invitation) sont accessibles depuis Internet via l’utilisateur invité.

Screen-Shot-2021-10-28-at-15.00.33

Les événements eux-mêmes peuvent contenir des informations sensibles susceptibles de porter atteinte à l’entreprise. Avec un lien de réunion, un mot de passe et une liste de participants, un attaquant pourrait très bien assister à une réunion sans être remarqué. Ces informations peuvent aussi être utilisées dans le cadre d’attaques de spear phishing ou pour compromettre d’autres services, procéder à un déplacement latéral, etc.

Mesures d'atténuation

Salesforce a rapidement corrigé le bug. Désormais, les nouvelles communautés n’associent plus l’utilisateur invité à l’adresse d’un utilisateur existant. Néanmoins, nous vous recommandons de remplacer l’adresse e-mail de l’utilisateur invité de toutes vos communautés antérieures au déploiement de la mise à jour Summer’21 par une adresse factice qui ne correspond à celle d’aucun utilisateur réel. L’extrait ci-dessous peut être exécuté dans la Developer Console pour modifier l’adresse e-mail de l’ensemble des utilisateurs invités :
for (User user: [SELECT Id FROM User WHERE UserType=’Guest’]) { user.Email = ’guest@company.com’; update user; }

Pour accéder à la Developer Console, cliquez sur l'icône d'engrenage en haut de la page et sélectionnez Developer Console (pensez à vous connecter en tant qu'administrateur !) : 

Screen-Shot-2021-10-28-at-16.24.50-1536x225Dans la Developer Console, appuyez sur Ctrl+E (ce raccourci fonctionne sur Windows comme sur Mac) pour ouvrir la fenêtre d'exécution anonyme.

Screen-Shot-2021-10-28-at-16.25.24-1536x639Collez le code dans la fenêtre et cliquez sur Execute (Exécuter) pour modifier automatiquement l'adresse e-mail de l'ensemble des utilisateurs invités. La suppression des objets d'événements sensibles associés à l'utilisateur invité n'a rien d'évident. Si vous avez besoin d'aide pour y parvenir, n'hésitez pas à contacter notre équipe.

Conclusions

La conclusion la plus importante que nous pouvons tirer de cette analyse réside dans le fait que le risque auquel les solutions SaaS sont exposées augmente avec l’interconnexion des services. Dans le cas présent, deux fonctionnalités a priori sans lien sont en réalité associées de manière inattendue et indésirable. Or, ces erreurs de configuration ou vulnérabilités mineures peuvent avoir des conséquences dramatiques. Par ailleurs, il est essentiel que les entreprises comprennent bien le modèle de responsabilité partagée adopté par les fournisseurs de solutions SaaS. Les applications SaaS sont généralement sécurisées. Toutefois, dès qu’une entreprise y place des données, leur protection relève de sa seule responsabilité. Les organisations doivent donc bien comprendre les solutions SaaS de leur environnement et les implications qu’elles ont les unes sur les autres. N’hésitez pas à créer un équivalent à un diagramme de topologie réseau pour vos produits SaaS afin de visualiser clairement les transferts de données d’une application à l’autre. Vous pouvez utiliser un produit de sécurité du cloud (pourquoi pas l’excellent DatAdvantage Cloud) pour visualiser les accès exacts dont dispose un utilisateur (invité ou non  !) sur vos différentes applications SaaS, classifier vos données sensibles et surveiller l’activité afin de repérer d’éventuelles anomalies.

Chronologie

  • 08/08/2021 : bug communiqué à Salesforce
  • 11/08/2021 : bug trié
  • 19/08/2021 : bug corrigé

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
découverte-des-vulnérabilités-outlook-et-nouvelles-façons-de-divulguer-les-hachages-ntlm
Découverte des vulnérabilités Outlook et nouvelles façons de divulguer les hachages NTLM
Le laboratoire de détection des menaces de Varonis a découvert un nouvel exploit Outlook et trois nouvelles façons d’accéder aux mots de passe hachés NTLM v2.
prendre-d’assaut-microsoft-office
Prendre d’assaut Microsoft Office
Le ransomware « Storm-0978 » exploite activement une vulnérabilité non corrigée d’exécution de code à distance dans Microsoft Office et Windows HTML.
sites-fantômes :-vol-de-données-provenant-de-communautés-salesforce-désactivées
Sites fantômes : vol de données provenant de communautés Salesforce désactivées
Varonis Threat Labs a découvert des sites Salesforce « fantômes » incorrectement désactivés qui sont facilement détectés, accessibles et exploitables par les attaquants.
vmware-esxi-dans-la-ligne-de-mire-des-ransomwares
VMware ESXi dans la ligne de mire des ransomwares
Les serveurs exécutant le célèbre hyperviseur de virtualisation VMware ESXi ont été ciblés par au moins un groupe de ransomwares au cours de la semaine dernière. Ces attaques proviendraient d’un balayage visant à identifier les hôtes présentant des vulnérabilités dans le protocole OpenSLP (Open Service Location Protocol).