Un error de ejecución remota de código (RCE) sin hacer clic en las aplicaciones de escritorio de Microsoft Teams podría haber permitido a un adversario ejecutar código arbitrario simplemente enviando un mensaje de chat especialmente diseñado y comprometiendo el sistema de un objetivo.
Oskars Vegeris informó de los problemas al fabricante de Windows , un ingeniero de seguridad de Evolution Gaming, el 31 de agosto de 2020, antes de que se abordaran a fines de octubre.
Microsoft no asignó un CVE a esta vulnerabilidad, indicando que «actualmente es política de Microsoft no emitir CVE en productos que se actualizan automáticamente sin la interacción del usuario».
«No se requiere interacción del usuario, el exploit se ejecuta al ver el mensaje de chat», explicó Vegeris en un informe técnico.
El resultado es una «pérdida total de confidencialidad e integridad para los usuarios finales: acceso a chats privados, archivos, red interna, claves privadas y datos personales fuera de MS Teams», agregó el investigador.
Peor aún, el RCE es multiplataforma, lo que afecta a Microsoft Teams para Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) y la web (teams.microsoft.com) – y podría hacerse con gusanos, lo que significa que podría propagarse al volver a enviar automáticamente la carga útil maliciosa a otros canales.
Esto también significa que el exploit se puede pasar de una cuenta a un grupo completo de usuarios, comprometiendo así un canal completo.
Para lograr esto, la cadena de exploits une una falla de scripting entre sitios (XSS) presente en las @menciones de los equipos funcionalidad de y una carga útil de RCE basada en JavaScript para publicar un mensaje de chat de apariencia inofensiva que contiene una mención de usuario en el formulario de un mensaje directo o de un canal.
Simplemente visitar el chat en el extremo del destinatario conduce a la ejecución de la carga útil, lo que permite que se explote para registrar los tokens SSO de los usuarios en el almacenamiento local para su exfiltración y ejecutar cualquier comando que elija el atacante.
Esta no es la primera vez que se observan tales fallas de RCE en Teams y otras aplicaciones de mensajería centradas en la empresa.
La principal de ellas es una vulnerabilidad RCE separada en Microsoft Teams (CVE-2020-17091) que la compañía parcheó como parte de su Patch Tuesday de noviembre de 2020. mes pasado.
A principios de agosto, Vegeris también reveló una falla crítica «desparasitable» en la versión de escritorio de Slack que podría haber permitido que un atacante se apoderara del sistema simplemente enviando un archivo malicioso a otro usuario de Slack.
Luego, en septiembre, el fabricante de equipos de red Cisco reparó una falla similar en su aplicación de mensajería y videoconferencia Jabber para Windows que, si se explota, podría permitir que un atacante remoto autenticado ejecute código arbitrario.
Vía: The Hacker News