Um hacker pode aproveitar-se da vulnerabilidade e utilizar a Microsoft Teams para descarregar e executar pacotes mal-intencionados sem necessidade de quaisquer privilégios especiais.
Para aqueles que não conhecem a ferramenta, a Microsoft Team é uma plataforma de comunicação que unifica múltiplas funcionalidades (chat, videoconferências, armazenamento de arquivos e a possibilidade de utilizá-los de forma colaborativa, entre outras) que foi pensada para o uso comercial e/ou educativo, já que permite a criação de comunidades ou grupos de trabalho que podem ser vinculados por meio de um URL ou através de convite.
A falha que afeta a plataforma é o Squirrel, um projeto de software de código aberto que é utilizado para processos de instalação e atualização da aplicação de desktop e que, por sua vez, utiliza o gestor de pacotes de código aberto NuGet para gerir arquivos.
Neste sentido, diferentes investigadores de segurança revelaram que, através da execução de um comando de update, um invasor pode aproveitar a falha para a execução de arbitrária de código, explica o BleepingComputer.
Outras aplicações que são afetadas pelo mesmo motivo são o GitHub, o WhatsApp e o UiPath, embora nestes casos seja apenas possível explorar a falha no download de um payload.
No caso da Microsoft Teams, quando é adicionado um payload à sua pasta, o mesmo é executado automaticamente usando qualquer um dos comandos update.exe ou squirrel.exe.
A falha ainda não foi reparada. De acordo com o investigador Richard Reegun, um dos responsáveis pela descoberta do bug, foi reportada à Microsoft, mas a empresa, apesar de ter reconhecido a vulnerabilidade, adiou o patch para o próximo lançamento. E apesar de Reegun explicar num post no seu blog que a sua intenção era tornar pública a descoberta quando o erro fosse resolvido, outros investigadores publicaram informações sobre o assunto e por isso resolveu tornar públicos pormenores da descoberta.
Published the writeup on latest Microsoft Teams vulnerable application design.
Vulnerable Endpoints :
%localappdata%/Microsoft/Teams/update.exe
%localappdata%/Microsoft/Teams/current/squirrel.exehttps://t.co/Cec0noyBCS
CC: @MrUn1k0d3r @Hexacorn @Oddvarmoe #blueteam #redteam
— Reegun (@reegun21) 28 de junio de 2019
Enquanto um patch não chega, um hacker mal-intencionado pode enganar a função de update da app para que seja descarregado malware, utilizando para isso o próprio código da Microsoft. O ataque envolve a extração de qualquer pacote nupkg no qual o hacker insere um shellcode chamado “squirrel.exe”.
Uma vez que um hacker tenha criado o pacote adequado poderá ir à pasta da aplicação e executando o comando “update.exe” a aplicação automaticamente atualizará e fará o download do pacote malicioso que contém o shellcode para a pasta “packages”, explicou CBR.
