L'updater di Microsoft Teams può essere sfruttato per installare malware

Microsoft Teams può ancora fungere da Living off the Land Binary (LolBin) per aiutare gli aggressori a recuperare e eseguire malware da remoto sui PC Windows.

Avatar di Luca Zaninello

a cura di Luca Zaninello

Managing Editor

Nonostante un primo fix rilasciato da Microsoft, il programma di aggiornamento di Microsoft Teams può ancora essere sfruttato per l'installazione di malware da parte di malintenzionati.

Microsoft Teams può ancora fungere da Living off the Land Binary (LolBin) per aiutare gli aggressori a recuperare e eseguire malware da remoto sui PC Windows. Il primo metodo di attacco, come descritto da BleepingComputer, è stato scoperto lo scorso anno e si basa sull'uso del comando "update" per l'esecuzione di codice binario nel contesto dell'utente attivo. Precedentemente al primo fix introdotto da Microsoft, un aggressore poteva tranquillamente scaricare ed eseguire un malware da un URL partendo da un eseguibile firmato e considerato sicuro dal sistema.

In una successiva variante scoperta da Reegun Richard, un aggressore poteva ottenere lo stesso risultato utilizzando un finto pacchetto di Microsoft Teams con il vero e proprio "Update.Exe" dell'app, che eseguiva qualsiasi cosa da determinate postazioni.

Anche Reegun Jayapaul, ora Lead Threat Architect per gli SpiderLab di Trustwave, aveva scoperto il problema nel 2019 e pubblicato i dettagli tecnici. Quest'anno ha ricontrollato il metodo di attacco e ha scoperto che la soluzione implementata da Microsoft non è stata sufficiente: "La patch precedentemente prevista per Teams consisteva nel limitare la sua capacità di aggiornamento tramite un URL. Invece, l'updater consente connessioni locali tramite una cartella locale o condivisa per gli aggiornamenti del prodotto".

"Grazie ancora per aver segnalato questo problema a Microsoft. Abbiamo stabilito che questo comportamento è progettato volutamente, non possiamo limitare la fonte SMB per --update perché abbiamo clienti che apparentemente si affidano a questo (ad es. reindirizzamento delle cartelle)" ha risposto l'azienda americana al ricercatore.

Sembra quindi che, almeno per il momento, il problema non possa essere sistemato in maniera definitiva.

Voi utilizzate Microsoft Teams per lavoro o per la scuola? Cosa ne pensate di questo genere di vulnerabilità?

Se avete timore che il vostro PC windows venga infettato, proteggetevi con AVG Internet Security 2020: la licenza di un anno per un PC è in offerta su Amazon a circa 25 euro.
Leggi altri articoli