Service update function ในการ Download binary หรือ malicious payload
นักวิจัยเพิ่งค้นพบวิธีแก้ปัญหา Patch ก่อนหน้ากับซอฟต์แวร์ Microsoft Teams ที่ทำให้ผู้ไม่หวังดีเข้ามาใช้ Service update function ในการ Download binary หรือ malicious payload ตัว Updater นี้อนุญาติให้มีการเชื่อมต่อผ่านทาง local share หรือ local folder ได้ Jayapaulshare ได้กล่าวไว้ว่า “ในขณะที่กำลังทำการตรวจสอบ เขาได้ค้นพบข้อจำกัดในการ bypass ไปที่ SMB Share” ผู้โจมตีสามารถ Download remote payload เข้ามารันได้เลย แทนที่จะต้องพยายามเข้าไปให้ถึง local share
นักวิจัยได้กล่าวว่า “หลังจากที่ตั้งค่าสำเร็จก็เริ่ม command execution, downloaded remote payload และทำการรันโดยตรงจาก Microsoft Teams Updater “Update.exe” เนื่องจาก Installation บน local user Appdata folder ไม่จำเป็นต้องใช้สิทธิ์ในการเข้าถึง ผู้โจมตีสวมลอยจาก traffic ตรงนี้ได้
เพื่อหลีกเลี่ยงหรือลดการโจมตีผู้ใช้งานต้องคอยระวังการเชื่อมต่อจากภายนอกและภายใน ให้ทาง IT ติดตั้งโปรแกรมบน “Program Files” Folder เพื่อทำให้ผู้โจมตีไม่สามารถที่จะลง ไฟล์เพื่อรันคำสั่ง Remote จาก payload ได้ และทำการ Disable กลไกการ Update ด้วยการตั้งค่า Policy ให้มีการอัพเดดได้ด้วยทีม IT เท่านั้น
อ้างอิง : https://threatpost.com/microsoft-teams-patch-bypass-rce/158043/