攻击者可以使用 Microsoft Teams 中的二进制文件,使用协作软件的模拟安装文件夹执行恶意 payload。该问题影响多数使用 Squirrel 安装和更新框架(使用 NuGet 包)的 Windows 桌面 app。研究人员是在测试产品过程中发现了这一问题,受影响产品包括 WhatsApp、Grammarly、GitHub、Slack 和 Discord 等。逆向工程师Reegun Richard 发现能够创建一个虚假的 Microsoft Teams 数据包并使用签名二进制执行某个特定位置的任何东西。试验中出现的值得注意的问题是,除了攻击者创建的最小化数据包之外,无需目标系统的任何资源即可发动攻击。研究人员发现,’Update.exe’文件和两个文件夹‘current’和‘packages’都是Microsoft Teams 的正常安装程序,它们足以在继承签名可执行文件信任的系统恶意软件上启动,从而导致某些防御机制遭破坏。’Update’可执行文件盲目地部署存在于‘current’文件夹中的任何东西。研究人员表示,’packages’位置需要一个不一定是有效的‘RELEASES’文件,“而只是需要‘SHA1filename size’的格式”。研究员在视频中展示了如何在通过‘update.exe’启动payload 后获取受害者主机上的 shell 访问权限。微软已获悉这个问题但决定不修复。原因是该问题“并未满足安全问题的门槛”。研究员解释称,虽然并非所有的 NuGet 数据包易受攻击,但所有依赖 Squirrel 一次点击安装程序的应用程序均受影响。不过还是存在一些不同之处,包含payload 的文件夹名称包含受该问题影响的 app 的名称和版本号。Richard 表示,“除了 Microsoft Teams 以外的所有应用程序都要求具有正确的版本文件夹、RELEASE 文件以及相应的‘Update’文件才能运作”。研究员为受影响的其中一款 app 创建了 PoC。现成可用的数据包仅要求一个payload。Richard 和另外一名研究员曾在过去的研究中发现使用 Squirrel 安装程序的 app 可被滥用于在当前用户的上下文中下载并运行可执行文件。通过这种方法也可从网络位置获取 payload。Microsoft Teams 正在变成替代 Slack 的流行选择。微软在7月中旬宣布称这款面向业务的统一通信工具的日活达到1300万名用户,周活超过1900万名用户,而这要远超 Slack。
原文链接
https://www.bleepingcomputer.com/news/security/microsoft-teams-can-be-used-to-execute-arbitrary-payloads/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。