Existem “ elementos de design inseguros ou vulnerabilidades no Microsoft Teams que podem ser usados por invasores. De acordo com consultor de segurança cibernética Bobby Rauch que compartilhou a descoberta, ela pode ser realizada usando os GIFs maliciosos enviados nas mensagens do Teams. (via BleepingComputer)
“Essa infraestrutura C2 exclusiva pode ser aproveitada por agentes de ameaças sofisticados para evitar a detecção por EDR e outras ferramentas de monitoramento de rede. Particularmente em ambientes de rede seguros, onde o Microsoft Teams pode ser um dos poucos hosts e programas confiáveis e permitidos, essa cadeia de ataque pode ser particularmente devastadora”, explicou Raunch. “Duas vulnerabilidades adicionais descobertas no Microsoft Teams, a falta de imposição de permissão e falsificação de anexos, permitem que o stager GIFShell seja descartado e executado de forma convincente na máquina da vítima, completando a cadeia de ataque desde o comprometimento da vítima até as comunicações secretas.”
O relatório foi o primeiro compartilhado com a Microsoft em maio e junho de 2022. Refere-se ao Teams versão 1.5.00.11163 e anterior, e Raunch disse que as vulnerabilidades ainda não foram corrigidas na versão mais recente do Teams, dando aos atores a chance de executar a cadeia de ataque GIFShell neles. No entanto, de acordo com o consultor, as descobertas não atenderam à”barreira de manutenção”da Microsoft, apesar de serem descritas como”ótimas pesquisas”e a empresa lhe dar permissão para”blog sobre/discutir este caso e/ou apresentar suas descobertas publicamente”.
“Muitas vezes, empresas e equipes de engenharia tomam decisões de projeto com base no’risco presumido’, em que uma vulnerabilidade potencialmente de baixo impacto é deixada sem correção ou um recurso de segurança é desabilitado por padrão, a fim de atingir algum objetivo de negócios, ” Raunch expressou sua preocupação. “Acredito que esta pesquisa é uma demonstração de uma instância em que uma série de decisões de design e “riscos assumidos” feitos por uma equipe de engenharia de produto podem ser encadeados em uma cadeia de ataque mais perniciosa e uma exploração de risco muito maior do que os designers de produto imaginaram era possível.”
Raunch enumerou em seu relatório as sete falhas e vulnerabilidades do Microsoft Teams. Um dos pontos mais notáveis destacados por Raunch é o fato de que o conteúdo de bytes dos GIFs codificados em base64 HTML incluídos nas mensagens do Microsoft Teams não são verificados quanto a conteúdo malicioso. Ele também explicou que, como a leitura de arquivos de log do Teams em texto simples não precisa de privilégios de administrador ou elevados, o stager malicioso que seria instalado pode executar e verificar livremente os arquivos de log. Por meio dessas vulnerabilidades, Rauch disse que desvios de controle de segurança, exfiltração de dados, execução de comandos e ataques de phishing são possíveis.
Quando perguntado sobre os bugs, a Microsoft disse ao BleepingComputer quase a mesma resposta que Raunch recebeu da empresa.
“É importante estar ciente desse tipo de phishing e, como sempre, recomendamos que os usuários pratiquem bons hábitos de computação on-line, incluindo cautela ao clicar em links para páginas da Web, abrir arquivos desconhecidos ou aceitar transferências de arquivos.
“Avaliamos as técnicas relatadas por este pesquisador e determinamos que as duas mencionadas não atendem ao padrão para uma correção de segurança urgente. Estamos constantemente procurando novas maneiras de resistir melhor ao phishing para ajudar a garantir a segurança do cliente e podemos tomar medidas em uma versão futura para ajudar a mitigar essa técnica.”
Por outro lado, enquanto a Microsoft considera as descobertas de Raunch como parte de”algumas vulnerabilidades de gravidade mais baixa que não representam um risco imediato para os clientes”, ela”será considerada para a próxima versão ou lançamento do Windows”.
