Sebuah kerentanan dalam updater Microsoft Teams memungkinkan penyerang untuk menginstal dan menjalankan malware secara remote menggunakan sebuah teknik bernama Living off the Land.
Kerentanan ini sebelumnya sudah diungkap oleh seorang reverse engineer Reegun Richard pada tahun lalu dan Microsoft pun sudah menerapkan solusi perbaikan untuk masalah ini.
Namun, “perbaikan yang sebelumnya disediakan untuk Teams adalah membatasi kemampuannya untuk memperbarui melalui URL. Sebaliknya, updater memungkinkan koneksi lokal melalui share atau folder lokal untuk update produk,” kata Reegun Jayapaul dari Trustwave.
Dia menemukan bahwa solusi perbaikan yang sebelumnya diterapkan dapat dengan mudah dilewati dengan menunjuk ke bagian remote SMB dan dapat digunakan untuk gerakan lateral.
Dengan perbaikan terakhir dari update Microsoft Teams, hanya memungkinkan jalur jaringan lokal \server\ untuk mengakses serta memperbarui dan memblokir “http/s”, “:”, “/” juga nomor port di URL updater.
Agar eksploitasi kerentanan ini berhasil, penyerang perlu menempatkan file di dalam jaringan dalam folder bersama yang terbuka. Kemudian penyerang perlu mengakses payload dari bagian tersebut ke mesin korban.
Penyerang juga dapat mengeksploitasi kerentanan dalam updater Microsoft Teams ini dari jarak jauh dengan menyiapkan server Samba untuk akses publik jarak jauh, dan dengan memulai eksekusi perintah, payload atau malware dapat diunduh dari jarak jauh serta dijalankan langsung dari updater Microsoft Teams, “update.exe“.
Baca Juga: “Hanya Dengan File Gambar Bisa Memungkinkan Peretasan Akun Microsoft Teams“
Trustwave dikabarkan telah melaporkan masalah tersebut ke Microsoft, dan rincian teknis mengenai eksploitasi kerentanan ini, bisa kalian akses DI SINI.
Trustwave merekomendasikan untuk memfilter koneksi SMB terutama dari updater Microsoft Teams ‘update.exe‘ atau memfilter koneksi SMB sepenuhnya.
