Microsoft Teams可被用來執行任意payload
Microsoft Teams是一款基於聊天的智能團隊協作工具,可以同步進行文檔共享,並為成員提供包括語音、視頻會議在內的即時通訊工具。攻擊者可以用Microsoft Teams的mock installation文件夾中的真實二進位文件來執行惡意payload。
該問題影響大多數使用Squirrel安裝和更新框架的Windows桌面APP,該開使用NuGet包。研究人員測試發現受影響的應用包括WhatsApp, Grammarly, GitHub, Slack 和 Discord。
易構建包
逆向工程師Reegun Richard發現他可以創建一個偽造的Microsoft Teams包,並使用簽名的二進位文件來執行特定位置展示的內容。研究人員實驗的過程中發現整個過程除了攻擊者創建的一個最小包外不需要目標系統上的任何資源。
研究人員發現在正常的Microsoft Teams安裝過程中,需要真實的Update.exe文件和current、packages兩個文件夾就可以啟動系統中繼承了經過簽名的可執行文件的信任的惡意軟體,這類惡意軟體可以繞過一些防禦措施。Update可執行文件會部署current文件夾中的所有內容。而packages位置需要一個RELEASES文件,但並不需要其是有效的,只需要SHA1文件名大小的格式。
Richard在POC視頻中證明如何用update.exe來啟動payload後再受害者主機上獲取shell訪問許可權。
微軟意識到了該問題,但並沒有決定解決該漏洞。研究人員稱微軟給出的理由是glitch並不滿足安全問題的底線。也就是說,並不是所有的NuGet包都受到該漏洞的影響,但所有依賴Squirrel one-click installer的app都受到影響。
除了Microsoft Teams外,所有的APP都需要正確的version文件夾、RELEASES文件和對應的Update文件才能工作。所以,攻擊中需要的最小包要包含:
·簽名的update.exe文件
·含有payload的"current"或"app-(version number)" 文件夾
·含有偽造的RELEASES文件的packages文件夾
研究人員對受影響的WhatsApp, Grammarly, GitHub, Slack 和 Discord應用程序都創建了POC,如下所示:
在之前的研究中,Richard和另一個研究人員發現使用Squirrel安裝器的app可以被濫用來下載和運行可執行文件。
POC地址:https://github.com/jreegun/POC-s/tree/master/Exe Sideloading
