Microsoft Teams-Updater lässt sich für Malware kapern - immer noch

Dabei handelt es sich um eine so genannte "Living off the Land-Binary"-Attacke (LoLBin). Bei diesem Szenario wird - vereinfacht erklärt - ein Tool oder -Feature verwendet, das in der Ziel-Umgebung einer möglichen Attacke bereits existiert. Im konkreten Fall wird der Updater von Teams missbraucht und wie Bleeping Computer schreibt (via Born City), haben bis­herige Bemühungen von Microsoft, diese Lücke zu stopfen, nicht gefruchtet, jedenfalls nicht vollständig. Denn bisherige Gegenmaßnahmen funktionieren "in gewissem Maße", aber eben nicht komplett.

Lücke bereits länger bekannt

Die ursprüngliche "Version" dieser Schwachstelle geht auf das Vorjahr zurück und verlässt sich auf das "Update"-Kommando, um Schadcode auf dem Rechner des Nutzers auszuführen. Vor den Gegenmaßnahmen Microsofts war es möglich, Malware von einer externen URL herunterzuladen, um diese dann auf dem System als vertrauenswürdig auszuführen.

Dagegen ging Microsoft auch vor, doch eine spätere Version dieses Angriffsszenarios, die vom Reverse Engineer Reegun Richard J entdeckt wurde, modifizierte den Vorgang. Ein Angreifer konnte dasselbe Ergebnis erreichen, indem ein Schein-Microsoft-Teams-Paket, in dem die "originale" Update.exe steckt, zum Einsatz kam.

Inzwischen ist es nicht länger möglich, die Schad­dateien von einer externen Ort zu laden, sondern nur noch per Freigabe oder einen lo­kalen Ordner. Laut dem Sicherheitsforscher ist die Umgehung dieser Lösung zwar wesentlicher komplizierter, aber eben nach wie vor möglich.

Das Ganze ließe sich nur über eine Ein­schrän­kung der SMB-Quellen lösen, das sei laut Micro­soft aber per Design nicht möglich, weil es Kunden gebe, die sich darauf verlassen. Wie die Redmonder das stattdessen lösen wollen, ist derzeit nicht bekannt.