Vulnerabilidade permite usar o Microsoft Teams para executar pacotes maliciosos | WeLiveSecurity

Vulnerabilidade permite usar o Microsoft Teams para executar pacotes maliciosos

Um atacante pode explorar a vulnerabilidade e usar o Microsoft Teams para baixar e executar pacotes maliciosos sem a necessidade de privilégios especiais.

Um atacante pode explorar a vulnerabilidade e usar o Microsoft Teams para baixar e executar pacotes maliciosos sem a necessidade de privilégios especiais.

A plataforma Microsoft Teams apresenta uma vulnerabilidade que permite que um atacante insira código malicioso no aplicativo e dê ao operador a possibilidade de executar arquivos arbitrariamente no sistema.

Para quem não conhece a ferramenta, o Microsoft Team é uma plataforma de comunicação que unifica múltiplas funcionalidades (bate-papo, reuniões de vídeo, armazenamento de arquivos e integração de aplicativos, entre outras) que foi projetada para uso comercial e/ou educacional, pois permite que o usuário crie comunidades ou grupos de trabalho que podem ser vinculados por meio de uma URL ou convite.

A falha que afeta a plataforma está na ferramenta Squirrel, um projeto de software livre que é usado para os processos de instalação e atualização do aplicativo de desktop e que, por sua vez, usa o gerenciador de pacotes de software livre NuGet para gerenciar arquivos.

Portanto, diferentes pesquisadores de segurança revelaram que, através da execução de um comando de atualização, um atacante pode aproveitar a falha para executar código arbitrariamente, explica o portal BleepingComputer.

Outros aplicativos afetados pelo mesmo motivo são o GitHub, o WhatsApp e o UiPath, embora nesses casos um atacante possa explorar apenas a falha no download de uma carga útil.

No caso do Microsoft Teams, quando o usuário adiciona uma carga útil à sua pasta, ela é executada automaticamente usando qualquer um dos comandos Update.exe ou squirrel.exe.

O bug ainda não foi corrigido. De acordo com o pesquisador Richard Reegun (que foi um dos que descobriram o problema), a falha foi reportada à Microsoft, que reconheceu a vulnerabilidade, mas adiou o patch para o próximo lançamento. E apesar de Reegun explicar em um post em seu blog que esperava tornar a descoberta pública apenas depois que a falha fosse corrigida, considerando que outros pesquisadores publicaram informações sobre o assunto, o pesquisador finalmente decidiu torná-la pública.

Enquanto isso, qualquer agente malicioso pode enganar a função de atualização do aplicativo para baixar o malware que queira usando o próprio código da Microsoft. O ataque envolve a extração de qualquer pacote nupkg no qual o atacante irá inserir um shellcode chamado “squirrel.exe”.

Depois de criar um pacote apropriado, o atacante pode acessar a pasta do aplicativo e executar o comando “update.exe”. O aplicativo atualizará automaticamente e baixará o pacote malicioso contendo o shellcode para a pasta “packages”, explicou o site CBR.

Leia também:

Discussão