Microsoft Teams, un contournement de patch permet l’exécution de code à distance

Des chercheurs ont récemment découvert une solution de contournement pour un patch précédent de Microsoft Teams, qui permettrait à un acteur malveillant d’utiliser la fonction de mise à jour du service pour télécharger des payloads malveillants.

Essentiellement, les pirates informatiques pourraient se cacher dans le trafic du programme de mise à jour de Microsoft Teams, qui a récemment été très volumineux.

«En raison de la nature volumineuse du trafic [du programme de mise à jour], il est possible que le trafic malveillant qui s’y cache échappe à la vue de l’analyste ou soit même ajouté à une liste d’applications autorisées, et donc non surveillées,» a expliqué Reegun Jayapaul, chercheur chez Trustwave SpiderLabs, dans une analyse.

Alors que Microsoft a essayé de se débarrasser de ce vecteur qui permet l’exécution de code à distance en limitant la possibilité de mettre à jour Microsoft Teams via une URL, ce n’était pas un correctif complet, a expliqué le chercheur.

«Le programme de mise à jour permet des connexions locales via un partage ou un dossier local pour les mises à jour du produit», a déclaré Jayapaul. «Au départ, lorsque j’ai observé cette découverte, je me suis dit qu’elle pouvait encore être utilisée comme technique de mouvement latéral, cependant, j’ai trouvé que les limitations ajoutées pouvaient être facilement contournées en pointant vers un… partage SMB.

Le protocole SMB (Server Message Block) est un protocole de partage de fichiers réseau. Pour son exploit, un attaquant aurait besoin de déposer un fichier malveillant dans un dossier partagé ouvert, ce qui implique généralement d’avoir déjà accès au réseau. Cependant, pour réduire ce facteur de blocage, un attaquant peut créer un partage distant plutôt que local.

«Cela leur permettrait de télécharger la charge utile distante et de l’exécuter plutôt que d’essayer de la transmettre à un partage local comme étape intermédiaire», a déclaré Jayapaul.

microsoft teams

Trustwave a publié une preuve de concept qui utilise Microsoft Teams Updater pour télécharger une charge utile – en utilisant un logiciel connu et commun appelé Samba pour effectuer le téléchargement à distance.

Tout d’abord, le chercheur a configuré un serveur Samba pour un accès public à distance. Ensuite, une charge utile qui prend en charge le framework de mise à jour doit être téléchargée sur un serveur Samba distant authentifié à partir de la fonction «Exécuter» de Windows.

«Après une configuration réussie, j’ai lancé l’exécution de la commande, téléchargé la charge utile et exécuté directement à partir de Microsoft Teams Updater,« Update.exe », a expliqué le chercheur.

«Puisque l’installation se trouve dans le dossier Appdata de l’utilisateur local, aucun accès privilégié n’est nécessaire», a-t-il ajouté. «Les attaquants peuvent utiliser cela pour masquer le trafic (en particulier pour les mouvements latéraux).»

microsoft teams

Microsoft ne résoudra pas le problème car ils ont déterminé que ce comportement est considéré comme étant intentionnel, ils ne peuvent pas restreindre la source SMB pour la mise à jour car ils ont des clients qui dépendent apparemment de cela (par exemple, la redirection de dossiers).

Comment se protéger de ce bug de Microsoft Teams?

Pour éviter ou atténuer une attaque, les utilisateurs peuvent mettre en œuvre des solutions qui recherchent les connexions suspectes à la fois entrantes et sortantes; et le service informatique peut installer Microsoft Teams dans le dossier «Program Files», de sorte qu’un attaquant ne puisse pas supprimer et exécuter la charge utile distante, selon le chercheur. «Cela peut être réalisé avec la politique de Groupe», a déclaré Jayapaul.

Les entreprises peuvent également désactiver tout type de mécanisme de mise à jour et définir une politique selon laquelle les mises à jour ne doivent être appliquer que par l’équipe informatique, a-t-il ajouté.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x