close

Microsoft Teams 先前針對駭客以假冒更新檔進行離地攻擊的修補方式,被證實無法奏效.png

Microsoft Teams 再度被資安廠商發現離地攻擊漏洞,駭侵者可假冒安裝更新,進行遠端植入並執行惡意程式碼。

新加坡電信旗下的資安團隊 Trustwave 日前發表研究報告,指出 Microsoft Teams 再次被發現離地攻擊漏洞;駭侵者可假冒安裝更新,進行遠端植入並執行惡意程式碼。

報告指出,去年 Microsoft Teams 就被發現存有離地攻擊漏洞;駭侵者可假藉安裝更新程式名義,透過傳訊方式要求用戶輸入更新指令,伺機安裝惡意程式碼;Microsoft 當時提出的解決方式,是限制系統不可透過 URL 下載更新檔,但允許用戶從本機或內部網路共享路徑下載並安裝更新程式。

報告說,這樣的修補方式並無法徹底解決 Microsoft Teams 遭離地攻擊的風險;駭侵者仍可以先設法將假冒為更新檔案的惡意程式檔案,事先置於內網共享資料夾內,或是使用遠端 SMB 分享,再拐騙內部用戶使用假檔案更新 Microsoft Teams,同樣能夠達成植入並執行惡意軟體的作業。

報告指出,Microsoft Teams 透過開源軟體 Squirrel 其中的 NuGet 套件來處理檔案下載與更新,因此假扮成更新包的惡意程式碼,只要命名為 Squirell.exe 並置於特定位置,同時提供假的 metadata,即可成功安裝。

撰寫報告的資安專家將其發現回報給微軟,但微軟回應指出,由於許多客戶頻繁使用 SMB 檔案分享功能,因此從產品設計的角度上,無法禁用 SMB 更新。

  • 參考連結

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-updater-living-off-the-land/

https://www.bleepingcomputer.com/news/security/hackers-can-abuse-microsoft-teams-updater-to-install-malware/

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Microsoft Teams 離地攻擊 漏洞 假冒 更新 SMB
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄