按Enter到主內容區

Microsoft Teams 先前針對駭客以假冒更新檔進行離地攻擊的修補方式,被證實無法奏效

  • 發布日期:109-11-27
  • 發布單位:刑事警察大隊

參考網站:
TWCERT/CC Cisco Microsoft Teams 先前針對駭客以假冒更新檔進行離地攻擊的修補方式,被證實無法奏效
https://www.twcert.org.tw/tw/cp-104-3852-3aa92-1.html


Microsoft Teams 再度被資安廠商發現離地攻擊漏洞,駭侵者可假冒安裝更新,進行遠端植入並執行惡意程式碼。

新加坡電信旗下的資安團隊 Trustwave 日前發表研究報告,指出 Microsoft Teams 再次被發現離地攻擊漏洞;駭侵者可假冒安裝更新,進行遠端植入並執行惡意程式碼。

報告指出,去年 Microsoft Teams 就被發現存有離地攻擊漏洞;駭侵者可假藉安裝更新程式名義,透過傳訊方式要求用戶輸入更新指令,伺機安裝惡意程式碼;Microsoft 當時提出的解決方式,是限制系統不可透過 URL 下載更新檔,但允許用戶從本機或內部網路共享路徑下載並安裝更新程式。

報告說,這樣的修補方式並無法徹底解決 Microsoft Teams 遭離地攻擊的風險;駭侵者仍可以先設法將假冒為更新檔案的惡意程式檔案,事先置於內網共享資料夾內,或是使用遠端 SMB 分享,再拐騙內部用戶使用假檔案更新 Microsoft Teams,同樣能夠達成植入並執行惡意軟體的作業。

報告指出,Microsoft Teams 透過開源軟體 Squirrel 其中的 NuGet 套件來處理檔案下載與更新,因此假扮成更新包的惡意程式碼,只要命名為 Squirell.exe 並置於特定位置,同時提供假的 metadata,即可成功安裝。

撰寫報告的資安專家將其發現回報給微軟,但微軟回應指出,由於許多客戶頻繁使用 SMB 檔案分享功能,因此從產品設計的角度上,無法禁用 SMB 更新。