Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

Er is een aanzienlijke piek waargenomen in het gebruik van de samenwerkingsservice van Microsoft Teams, waarbij miljoenen mensen zich bij deze dienst hebben aangesloten tijdens de COVID-19-pandemie. Gelukkig hebben onderzoekers, voordat aanvallers dat konden, een fout in de Microsoft Teams Updater ontdekt die uit het graf verrees.

Wat is er gebeurd?

In juli 2019 werd een fout ontdekt in MS Teams Updater door reverse engineers Reegun Richard en Charles Hamilton. Door hiervan misbruik te maken, kon een kwaadwillende actor de MS Teams Updater gebruiken om elk gewenst binair bestand of payload te downloaden.

In augustus 2020 ontdekten experts dat de fout een onderdeel is van een eerder opgeloste kwetsbaarheid. De wijzigingen die eerder door de leverancier zijn aangebracht, kunnen worden omzeild.

Een aanvaller kan misbruik maken van de fout door naar een externe SMB-share te verwijzen. Daarvoor moet een aanvaller het bestand eerst binnen het beoogde netwerk in open gedeelde mappen verplaatsen en ook toegang hebben tot de payload van die share naar de slachtoffercomputer.

Nog een snellere manier om dit te doen door een Samba-server op te zetten. De aanvaller kan externe payload downloaden en deze rechtstreeks uitvoeren vanuit Microsoft Teams Updater “Update.exe”

Het vorige patchverhaal

Eerdere inspanningen van Microsoft konden aanvallers er niet van weerhouden Teams te misbruiken om hun payloads te downloaden en uit te voeren.

De eerder verstrekte patch voor Teams was bedoeld om de mogelijkheid om bij te werken via een URL te beperken, wat de belangrijkste factor was die tot het misbruik leidde. Maar er is een oplossing gevonden om deze beperking te omzeilen.

Vanwege deze gedeeltelijk gepatchte fout zou het binaire bestand Microsoft Teams Update.exe fungeren als een LOLbin (Living-off-the-Land binary) om malware op te halen en uit te voeren vanaf een externe locatie.

Veiligheidstips

Bij het installeren van Microsoft Teams “update.exe”, moeten gebruikers de grootte en hash van het gedownloade installatieprogramma valideren voordat ze het uitvoeren.

Alle uitgaande SMB-verbindingen, met name die afkomstig van de Microsoft Teams-updater, moeten grondig worden gecontroleerd en beoordeeld, voordat hackers misbruik kunnen gaan maken van de fout om de Windows-pc’s van gebruikers te hacken.

Bron: Cyware.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

 

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen
Thuiswerken zorgt voor een toename aan security incidenten

Gerelateerde berichten

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

BootHole

BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

cisco

Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data

emotet

Emotet botnet keert na 5 maanden terug

sigred kwetsbaarheid

SIGRed, een “wormable” kritieke kwetsbaarheid in Windows DNS-Server

f5 kwetsbaarheid

Ernstige kritieke kwetsbaarheid in BIG-IP ADC van F5

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

achttien + 15 =

Menu