Vulnerabilidad permite utilizar Microsoft Teams para ejecutar paquetes maliciosos

Un actor malintencionado puede aprovecharse de la vulnerabilidad y utilizar Microsoft Teams para descargar y ejecutar paquetes maliciosos sin necesidad de privilegios especiales

La plataforma Microsoft Teams presenta una vulnerabilidad que permite a un actor malintencionado insertar código malicioso en la aplicación y otorgarle al operador la posibilidad de ejecutar archivos en el sistema de forma arbitraria.

Para aquellos que no conocen la herramienta, Microsoft Teams es una plataforma de comunicación que unifica múltiples funcionalidades (chat, videoconferencias, almacenamiento de archivos y la posibilidad de utilizarlos de forma colaborativa, entre otras) que fue pensada para el uso empresarial y/o educativo, ya que permite armar comunidades o grupos de trabajo que pueden unirse a través de una URL o mediante una invitación.

El fallo que afecta a Teams radica Squirrel, un proyecto de código abierto que es utilizado para los procesos de instalación y actualización de la aplicación de escritorio y que a su vez utiliza el gestor de paquetes de código abierto NuGet para administrar archivos.

En este sentido, distintos investigadores de seguridad revelaron que a través de la ejecución de un comando de actualización puede un atacante aprovecharse del fallo para ejecutar código de manera arbitraria, explica BleepingComputer.

Otras aplicaciones que se ven afectadas por la misma razón son GitHub, WhatsApp y UiPath, aunque en estos casos solo puede explotar el fallo para descargar un payload.

En el caso de Microsoft Teams, al añadir un payload a su carpeta el mismo se ejecuta automáticamente utilizando cualquiera de los comandos Update.exe o squirrel.exe.

El fallo aún no fue reparado. Según el investigador Richard Reegun, quien fue uno de los que descubrió el fallo, reportó el hallazgo al equipo de Microsoft pero la compañía, que valido la vulnerabilidad, pospuso el parche para el próximo lanzamiento. Y si bien Reegun explica en un post en su blog que esperaba hacer público el hallazgo una vez que el error fuese solucionado, dado que otros investigadores públicaron información al respecto decidió finalmente hacerlo público.

Mientras tanto, cualquier actor malintencionado puede engañar a la función update de la app para que descargue el malware que quiera utilizando para eso el propio código de Microsoft. El ataque implica extraer cualquier paquete nupkg en el cual el atacante insertará un shellcode etiquetado como “squirrel.exe”.

Una vez que un atacante haya creado el paquete adecuado podrá ir a la carpeta de la aplicación y ejecutando el comando “update.exe” la aplicación automáticamente actualizará y descargará el paquete malicioso que contiene el shellcode hacia la carpeta “packages”.

Fuente: www.welivesecurity.com