Независимый эксперт нашел RCE-уязвимость в Microsoft Teams

Программный инженер Риган Ричард Джей (Reegun Richard J) обнаружил способ выполнить произвольный код через платформу Microsoft Teams. Уязвимость, которая содержится в процессах обновления ПО, также частично коснулась настольных версий GitHub, WhatsApp и UiPath.

Как пояснил эксперт, все эти программы используют утилиту с открытым кодом Squirrel — именно она обеспечивает загрузку и установку обновлений, созданных при помощи пакетного менеджера NuGet. Исследователь выяснил, что команды «update [URL-адрес]» и «download [URL-адрес]» позволяют загрузить файл в папку Microsoft Teams, где он будет автоматически исполнен.

В случае остальных систем, применяющих Squirrel, баг позволяет лишь скачать стороннее содержимое с веб-сервера. По словам эксперта, это не умаляет опасность ошибки, поскольку этот способ доставки все равно позволяет обмануть системы защиты конечных точек и противодействия вторжениям. Стоит подчеркнуть, что код запустится с привилегиями текущего пользователя.

Исследователь сообщил о проблеме разработчикам Microsoft еще в июне, те пообещали исправить ошибку в будущих релизах. Параллельно с экспертом дыру обнаружили еще два специалиста. Опасаясь, что уязвимость найдут и злоумышленники, он решил опубликовать информацию, не дожидаясь заплатки.

Ранее в мае Microsoft закрыла целую серию уязвимостей в Windows 10, которые позволяли выйти из системной песочницы, повысить права пользователя и выполнить сторонний код. Все баги обнаружила исследовательница SandBoxEscaper, которая выложила PoC на GitHub без предварительного уведомления разработчиков.

В конце 2018 года аналитики выяснили, что большинство программных инженеров не знают, какие компоненты с открытым исходным кодом используются в их продуктах. По словам специалистов, такая ситуация повышает риск масштабных взломов вроде утечки из кредитного бюро Equifax, которая случилась из-за уязвимости модуля Apache Struts. Высокая фрагментация мира opensource-разработки приводит к тому, что такие дыры могут оставаться актуальными даже через два года после обнаружения.

Источник: https://threatpost.ru/microsoft-teams-vuln-due-to-squirrel-usage/33318/