Microsoft团队可用于执行任意负载

 
攻击者可以使用Microsoft Teams的正版二进制文件，使用协作软件的模拟安装文件夹执行恶意负载。
该问题影响大多数使用Squirrel安装和更新框架的Windows桌面应用程序，该框架使用NuGet软件包。
受安全研究人员测试的受影响产品列表包括WhatsApp，Grammarly，GitHub，Slack和Discord。
易于构建包
反向工程师Reegun Richard发现他可以创建一个虚假的Microsoft Teams包，并使用已签名的二进制文件来执行特定位置的任何内容。
该实验的一个值得注意的方面是除了攻击者创建的最小包之外，目标系统上不需要任何资源。
研究人员发现，真正的’Update.exe’文件和两个文件夹 – ‘current’和’packages’都是普通Microsoft Teams安装的一部分，足以启动继承了已签名可执行文件信任的系统恶意软件，允许失败一些防御机制。
似乎“更新”可执行文件盲目地部署“当前”文件夹中存在的任何内容。
‘packages’位置需要有一个’RELEASES’文件，尽管它不一定有效。 “它只需要’SHA1文件名大小’格式，”研究人员告诉BleepingComputer。
Richard在一段视频中演示了这次攻击，该视频显示了在指示“update.exe”启动有效载荷后如何在受害者主机上获得shell访问权限。
微软意识到了这个问题，但决定不解决它。研究人员说公司给他的原因是这个故障“没有达到安全问题的标准”。
研究人员解释说，并非所有NuGet软件包都容易受到攻击，但依赖于Squirrel一键安装程序的所有应用程序都是。
但是，存在一些差异，因为包含有效内容的文件夹的名称包含受此问题影响的应用程序的名称和版本号。
“所有应用程序，除了Microsoft Teams，都需要正确的版本文件夹，RELEASES文件和相应的’Update’文件才能使其正常工作，”Richard告诉BleepingComputer。
最小包需要由以下内容组成：
签名’update.exe’
带有效负载的“当前”或“app-(版本号)”文件夹
‘packages’文件夹包含假的’RELEASES’文件
研究人员为他发现受此问题影响的每个应用程序创建了一个PoC。现成的包只需要有效载荷。
在之前的研究中，Richard和另一位研究人员发现使用Squirrel安装程序的应用程序可能会被滥用，以便在当前用户的上下文中下载和运行可执行文件。这也可以从在线位置获取有效负载。
作为Slack的替代品，Microsoft Teams正成为一种流行的选择。微软在7月中旬宣布其面向业务的统一通信工具每天有1300万活跃用户，每周超过1900万，这比Slack可以夸耀的要多。