信息來(lái)源:4hou
Microsoft Teams是一款基于聊天的智能團(tuán)隊(duì)協(xié)作工具���,可以同步進(jìn)行文檔共享�,并為成員提供包括語(yǔ)音��、視頻會(huì)議在內(nèi)的即時(shí)通訊工具�����。攻擊者可以用Microsoft Teams的mock installation文件夾中的真實(shí)二進(jìn)制文件來(lái)執(zhí)行惡意payload。
該問(wèn)題影響大多數(shù)使用Squirrel安裝和更新框架的Windows桌面APP���,該開使用NuGet包�����。研究人員測(cè)試發(fā)現(xiàn)受影響的應(yīng)用包括WhatsApp, Grammarly, GitHub, Slack 和 Discord��。
易構(gòu)建包
逆向工程師Reegun Richard發(fā)現(xiàn)他可以創(chuàng)建一個(gè)偽造的Microsoft Teams包�,并使用簽名的二進(jìn)制文件來(lái)執(zhí)行特定位置展示的內(nèi)容�。研究人員實(shí)驗(yàn)的過(guò)程中發(fā)現(xiàn)整個(gè)過(guò)程除了攻擊者創(chuàng)建的一個(gè)最小包外不需要目標(biāo)系統(tǒng)上的任何資源。
研究人員發(fā)現(xiàn)在正常的Microsoft Teams安裝過(guò)程中���,需要真實(shí)的Update.exe文件和current��、packages兩個(gè)文件夾就可以啟動(dòng)系統(tǒng)中繼承了經(jīng)過(guò)簽名的可執(zhí)行文件的信任的惡意軟件����,這類惡意軟件可以繞過(guò)一些防御措施��。Update可執(zhí)行文件會(huì)部署current文件夾中的所有內(nèi)容���。而packages位置需要一個(gè)RELEASES文件����,但并不需要其是有效的,只需要SHA1文件名大小的格式��。
Richard在POC視頻中證明如何用update.exe來(lái)啟動(dòng)payload后再受害者主機(jī)上獲取shell訪問(wèn)權(quán)限���。
微軟意識(shí)到了該問(wèn)題��,但并沒(méi)有決定解決該漏洞��。研究人員稱微軟給出的理由是glitch并不滿足安全問(wèn)題的底線��。也就是說(shuō),并不是所有的NuGet包都受到該漏洞的影響��,但所有依賴Squirrel one-click installer的app都受到影響�。
除了Microsoft Teams外,所有的APP都需要正確的version文件夾�、RELEASES文件和對(duì)應(yīng)的Update文件才能工作。所以�����,攻擊中需要的最小包要包含:
· 簽名的update.exe文件
· 含有payload的'current'或'app-(version number)' 文件夾
· 含有偽造的RELEASES文件的packages文件夾
研究人員對(duì)受影響的WhatsApp, Grammarly, GitHub, Slack 和 Discord應(yīng)用程序都創(chuàng)建了POC���,如下所示:
在之前的研究中�,Richard和另一個(gè)研究人員發(fā)現(xiàn)使用Squirrel安裝器的app可以被濫用來(lái)下載和運(yùn)行可執(zhí)行文件。
POC地址:https://github.com/jreegun/POC-s/tree/master/Exe%20Sideloading
