去年的滥用通过“更新”命令在当前用户的上下文中运行任意二进制代码。在微软推出缓解措施之前,攻击者可从外部 URL 下载恶意软件并从受信任(已签名)可执行文件中将其部署到系统上。
逆向工程师 Reegun Richard 随后在其变体中发现,攻击者可通过该 app 真正的“Update.Exe”(执行某个位置的任何数据)伪造虚假的微软 Teams 数据包。Reegun Jayapaul 也在2019年发现了这个问题并公开了技术细节。他今年会刊该问题时发现微软提供的解决方案并不完整,“之前提供的 Teams 补丁是为了限制它通过 URL 进行更新的能力,但更新器可允许通过分享或产品更新本地文件夹进行本地连接。”
由于已无法从外部位置获取 payloa,因此Reegun 通过SMB 远程分享进行了测试。微软提供的解决方案仅允许本地 络路径访问并更新 Teams 数据包。该 app 检查更新器 URL 中是否存在”http/s”、 “:” 和 “/”字符串和端口 ,如出现则拦截连接。
通过如下命令,微软 Teams 在10到15秒之内从远程位置提取并运行该 payload。
Jayapaul 将问题告知微软后并未收到任何回应。不过当前似乎无法限制 SMB 源,原因是这样做会影响客户操作。Jayapaul 表示如威胁行动者具有本地访问权限,则可通过这种方法隐藏用于横向移动的流量。
用户可采取的防御措施包括监控可疑连接的“update.exe”命令行,检查“squirrel.exe”的大小以判断使用的文件是否合法。从微软 Teams 的更新器检查哈希并跟踪 SMB 连接也有助于发现攻击情况。
推荐阅读
利用Microsoft Teams 执行任意 payload,微软拒绝修复
微软 Teams 曝0day!可用于下载并运行恶意包,GitHub等受影响
原文链接
https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-teams-updater-to-install-malware/
题图:Pixabay License
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树首页概览8938 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!