Microsoft Teams позволяет выполнять вредоносное ПО

Microsoft Teams позволяет выполнять вредоносное ПО

Microsoft не считает проблему серьезной и не планирует ее исправлять.

Злоумышленники могут использовать подлинные файлы Microsoft Teams для выполнения вредоносной нагрузки с помощью поддельной установочной папки. Проблема затрагивает большинство настольных Windows-приложений, которые используют Squirrel и фреймворк для обновлений, применяющий пакеты NuGet (в частности WhatsApp, Grammarly, GitHub, Slack и Discord).

Уязвимость обнаружил инженер Риган Ричард (Reegun Richard). Специалист смог создать поддельный пакет Microsoft Teams и использовать подписанный код для выполнения любой полезной нагрузки, находящейся в определенном месте. Для осуществления атаки наличие на атакуемой системе каких-либо других ресурсов, кроме созданного поддельного пакета, не требуется.

Как обнаружил Ричард, подлинный файл 'Update.exe' и папки 'current' и 'packages', являющиеся неотъемлемой частью установки Microsoft Teams, позволяют запускать на системе вредоносное ПО. Вредонос способен перенимать доверие к подписанному исполняемому файлу и тем самым обходить некоторые механизмы безопасности.

Как оказалось, файл 'Update.exe' слепо развертывает любое содержимое папки 'current'. В свою очередь, 'packages' нужно иметь файл 'RELEASES', который вполне может не быть действительным.

В представленном ниже видео Ричард продемонстрировал, как заставив 'Update.exe' выполнить нужную полезную нагрузку, ему удалось получить доступ к оболочке на атакуемом хосте.

Microsoft известно об уязвимости, но компания отказывается ее исправлять, поскольку, по ее мнению, она не является проблемой безопасности.

Microsoft Teams – корпоративная платформа от Microsoft, объединяющая в рабочем пространстве чат, встречи, заметки и вложения. Является альтернативой популярному корпоративному решению Slack. Microsoft Teams входит в пакет Office 365 и распространяется по корпоративной подписке.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!