11/09/19
Злоумышленники могут использовать подлинные файлы Microsoft Teams для выполнения вредоносной нагрузки с помощью поддельной установочной папки. Проблема затрагивает большинство настольных Windows-приложений, которые используют Squirrel и фреймворк для обновлений, применяющий пакеты NuGet (в частности WhatsApp, Grammarly, GitHub, Slack и Discord).
Уязвимость обнаружил инженер Риган Ричард (Reegun Richard). Специалист смог создать поддельный пакет Microsoft Teams и использовать подписанный код для выполнения любой полезной нагрузки, находящейся в определенном месте. Для осуществления атаки наличие на атакуемой системе каких-либо других ресурсов, кроме созданного поддельного пакета, не требуется.
Как обнаружил Ричард, подлинный файл 'Update.exe' и папки 'current' и 'packages', являющиеся неотъемлемой частью установки Microsoft Teams, позволяют запускать на системе вредоносное ПО. Вредонос способен перенимать доверие к подписанному исполняемому файлу и тем самым обходить некоторые механизмы безопасности.
Как оказалось, файл 'Update.exe' слепо развертывает любое содержимое папки 'current'. В свою очередь, 'packages' нужно иметь файл 'RELEASES', который вполне может не быть действительным.
В представленном видео Ричард продемонстрировал, как заставив 'Update.exe' выполнить нужную полезную нагрузку, ему удалось получить доступ к оболочке на атакуемом хосте.
Microsoft известно об уязвимости, но компания отказывается ее исправлять, поскольку, по ее мнению, она не является проблемой безопасности.
Microsoft Teams – корпоративная платформа от Microsoft, объединяющая в рабочем пространстве чат, встречи, заметки и вложения. Является альтернативой популярному корпоративному решению Slack. Microsoft Teams входит в пакет Office 365 и распространяется по корпоративной подписке.
