Um atacante pode explorar a vulnerabilidade e usar o Microsoft Teams para baixar e executar pacotes maliciosos sem a necessidade de privilégios especiais.
A plataforma Microsoft Teams apresenta uma vulnerabilidade que permite que um atacante insira código malicioso no aplicativo e dê ao operador a possibilidade de executar arquivos arbitrariamente no sistema.
Para quem não conhece a ferramenta, o Microsoft Team é uma plataforma de comunicação que unifica múltiplas funcionalidades (bate-papo, reuniões de vídeo, armazenamento de arquivos e integração de aplicativos, entre outras) que foi projetada para uso comercial e/ou educacional, pois permite que o usuário crie comunidades ou grupos de trabalho que podem ser vinculados por meio de uma URL ou convite.
A falha que afeta a plataforma está na ferramenta Squirrel, um projeto de software livre que é usado para os processos de instalação e atualização do aplicativo de desktop e que, por sua vez, usa o gerenciador de pacotes de software livre NuGet para gerenciar arquivos.
Portanto, diferentes pesquisadores de segurança revelaram que, através da execução de um comando de atualização, um atacante pode aproveitar a falha para executar código arbitrariamente, explica o portal BleepingComputer.
Outros aplicativos afetados pelo mesmo motivo são o GitHub, o WhatsApp e o UiPath, embora nesses casos um atacante possa explorar apenas a falha no download de uma carga útil.
No caso do Microsoft Teams, quando o usuário adiciona uma carga útil à sua pasta, ela é executada automaticamente usando qualquer um dos comandos Update.exe ou squirrel.exe.
O bug ainda não foi corrigido. De acordo com o pesquisador Richard Reegun (que foi um dos que descobriram o problema), a falha foi reportada à Microsoft, que reconheceu a vulnerabilidade, mas adiou o patch para o próximo lançamento. E apesar de Reegun explicar em um post em seu blog que esperava tornar a descoberta pública apenas depois que a falha fosse corrigida, considerando que outros pesquisadores publicaram informações sobre o assunto, o pesquisador finalmente decidiu torná-la pública.
Published the writeup on latest Microsoft Teams vulnerable application design.
Vulnerable Endpoints :
%localappdata%/Microsoft/Teams/update.exe
%localappdata%/Microsoft/Teams/current/squirrel.exehttps://t.co/Cec0noyBCSCC: @MrUn1k0d3r @Hexacorn @Oddvarmoe #blueteam #redteam
— Reegun (@reegun21) 28 de junio de 2019
Enquanto isso, qualquer agente malicioso pode enganar a função de atualização do aplicativo para baixar o malware que queira usando o próprio código da Microsoft. O ataque envolve a extração de qualquer pacote nupkg no qual o atacante irá inserir um shellcode chamado “squirrel.exe”.
Depois de criar um pacote apropriado, o atacante pode acessar a pasta do aplicativo e executar o comando “update.exe”. O aplicativo atualizará automaticamente e baixará o pacote malicioso contendo o shellcode para a pasta “packages”, explicou o site CBR.
Discussão