COORDINACIÓN GENERAL DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN

Vulnerabilidad en Microsoft Teams permite la descarga y ejecución de paquetes maliciosos

Fecha de Publicación: Jueves, 7 de Noviembre de 2019

Fuente: https://unaaldia.hispasec.com/2019/10/vulnerabilidad-en-microsoft-teams-permite-la-descarga-y-ejecucion-de-paquetes-maliciosos.html

26 octubre, 2019 Por Luciano Miguel Tobaría

El mecanismo actual de actualización de la aplicación de escritorio de Microsoft Teams permite descargar y ejecutar archivos arbitrarios en el sistema. Aunque la vulnerabilidad que permite la descarga de paquetes arbitrarios se da también en otros programas como GitHub, WhatsApp o UiPath, en estos solo es posible la descarga de la carga útil pero no su ejecución.

Extraído de Bleeping Computer.

Microsoft Teams es un software de uso en empresas pensado para unificar las comunicaciones en trabajos colaborativos que integra videoconferencias, almacenamiento de archivos y otras características relacionadas. Está diseñado para aumentar el número de funcionalidades que ya ofreciera Skype for Business y como alternativa a Slack. Además, admite extensiones para la integración con productos de terceros.

El origen de problema parece radicar en el proyecto de código abierto Squirrel, usado para la gestión de rutinas de instalación y actualización mediante el administrador de paquetes NuGet, en el que se basan estas aplicaciones. Varios investigadores de seguridad han descubierto que al activar tanto ‘update.exe‘ como ‘squirrel.exe‘ (que también forma parte del paquete de instalación de Microsoft Teams) con una aplicación vulnerable es posible ejecutar un código binario arbitrario con los permisos del usuario activo. Ambos ejecutables forman parte de la base de datos LOLBAS (Living Off The Land Binaries and Scripts) en GitHub.

Es posible añadir una carga útil al directorio de Microsoft Teams y ejecutarla con el parámetro ‘–update‘ de dichos comandos; con el parámetro ‘–download‘ se habilita la recuperación de la carga útil como un paquete NuGet desde una ubicación remota; y con el parámetro ‘–updateRollback‘ se pueden tanto descargar como ejecutar los paquetes maliciosos desde remoto.

Microsoft fue informada por el ingeniero Reegun Richard el 4 de junio una vez verificado el problema. Y aunque la compañía tiene planteado lanzar el parche de seguridad en una versión futura, todavía sigue suponiendo una vulnerabilidad en muchos equipos, ya que un atacante podría servirse de este método para enmascarar la descarga del código malicioso. Aunque Richard mantuvo en privado los detalles mientras Microsoft lanzaba el parche de seguridad, el investigador ‘Mr. Un1k0d34‘ de ‘RingZer0 Team‘ publicó recientemente los detalles de la vulnerabilidad.

Más información:

Noticias Anteriores