Уязвимость можно проэксплуатировать, используя поддельный пакет Microsoft Teams с подлинным приложением Update.Exe.
Платформа Microsoft Teams по-прежнему уязвима к методу Living off the Land (LotL), позволяющему удаленно извлекать и запускать вредоносное ПО.
Первоначально метод был раскрыт в прошлом году, и он основан на использовании команды «update» для запуска произвольного двоичного кода в контексте текущего пользователя. До того, как Microsoft представила меры по предотвращению эксплуатации уязвимости, злоумышленник мог загрузить вредоносное ПО с внешнего URL-адреса и установить его на системе из доверенного (подписанного) исполняемого файла.
В более позднем варианте, обнаруженном специалистом Ригуном Джаяполом, злоумышленник мог получить тот же результат, используя поддельный пакет Microsoft Teams с подлинным приложением Update.Exe.
«Ранее выпущенный патч для Microsoft Teams должен был ограничить возможность обновления через URL-адрес. Вместо этого программа обновления разрешает локальные подключения через общий ресурс или локальную папку для обновлений продукта», — пояснил эксперт.
Исправление Microsoft позволяет получать доступ к пакету Teams и обновлять его только локальным сетевым каталогам. Приложение проверяет URL-адрес средства обновления на наличие строк «http/s», «:», «/» и номеров портов, блокируя обнаруженные соединение. При наличии этого ограничения для использования Teams в качестве LoLBin злоумышленнику необходимо поместить вредоносный файл в общую папку в сети, а затем получить доступ к полезной нагрузке с компьютера жертвы.
Исследователь настроил сервер Samba, который разрешил удаленный публичный доступ. С помощью специальной команды он смог загрузить удаленную полезную нагрузку и запустить ее из Microsoft Teams Updater «Update.Exe».
Патч для обнаруженной уязвимости вряд ли появится, поскольку Microsoft назвала это недостатком дизайна, и исправление может оказать негативное влияние на операции некоторых клиентов.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках