Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Средство обновления Microsoft Teams позволяет устанавливать вредоносное ПО

07/08/20

Microsoft teamsПлатформа Microsoft Teams по-прежнему уязвима к методу Living off the Land (LotL), позволяющему удаленно извлекать и запускать вредоносное ПО.

Первоначально метод был раскрыт в прошлом году, и он основан на использовании команды «update» для запуска произвольного двоичного кода в контексте текущего пользователя. До того, как Microsoft представила меры по предотвращению эксплуатации уязвимости, злоумышленник мог загрузить вредоносное ПО с внешнего URL-адреса и установить его на системе из доверенного (подписанного) исполняемого файла.

В более позднем варианте, обнаруженном специалистом Ригуном Джаяполом, злоумышленник мог получить тот же результат, используя поддельный пакет Microsoft Teams с подлинным приложением Update.Exe.

«Ранее выпущенный патч для Microsoft Teams должен был ограничить возможность обновления через URL-адрес. Вместо этого программа обновления разрешает локальные подключения через общий ресурс или локальную папку для обновлений продукта», — пояснил эксперт.

Исправление Microsoft позволяет получать доступ к пакету Teams и обновлять его только локальным сетевым каталогам. Приложение проверяет URL-адрес средства обновления на наличие строк «http/s», «:», «/» и номеров портов, блокируя обнаруженные соединение. При наличии этого ограничения для использования Teams в качестве LoLBin злоумышленнику необходимо поместить вредоносный файл в общую папку в сети, а затем получить доступ к полезной нагрузке с компьютера жертвы.

Исследователь настроил сервер Samba, который разрешил удаленный публичный доступ. С помощью специальной команды он смог загрузить удаленную полезную нагрузку и запустить ее из Microsoft Teams Updater «Update.Exe».

Патч для обнаруженной уязвимости вряд ли появится, поскольку Microsoft назвала это недостатком дизайна, и исправление может оказать негативное влияние на операции некоторых клиентов.

Темы:Угрозыполитика компанииMicrosoft Teams
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...