Ein RCE-Fehler (Zero-Click Remote Code Execution) in Microsoft Teams-Desktop-Apps hat es ermöglicht, beliebigen Code auszuführen, indem lediglich eine speziell gestaltete Chat-Nachricht gesendet wird und das System zu gefährden.
Die Probleme wurden dem Windows-Hersteller am 31. August 2020 von Oskars Vegeris, einem Sicherheitsingenieur von Evolution Gaming, gemeldet, bevor sie Ende Oktober behoben wurden.
Microsoft hat dieser Sicherheitsanfälligkeit kein CVE zugewiesen. “Es ist derzeit die Richtlinie von Microsoft, keine CVEs für Produkte auszugeben, die automatisch ohne Benutzerinteraktion aktualisiert werden.”
“Es ist keine Benutzerinteraktion erforderlich. Der Exploit wird ausgeführt, sobald die Chat-Nachricht angezeigt wird”, erklärte Vegeris in einem technischen Bericht.
Das Ergebnis ist ein “vollständiger Verlust der Vertraulichkeit und Integrität für Endbenutzer – Zugriff auf private Chats, Dateien, internes Netzwerk, private Schlüssel und persönliche Daten außerhalb von MS Teams”, fügte der Forscher hinzu.
Schlimmer noch, der RCE ist plattformübergreifend und betrifft Microsoft Teams für Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) und das Web (teams.microsoft.com). – und könnte durch ein automatisches Reposting böswilligen Nutzdaten auf andere Kanäle weitergegeben werden.
Dies bedeutet auch, dass der Exploit von einem Konto an eine ganze Gruppe von Benutzern weitergegeben werden kann, wodurch ein ganzer Kanal gefährdet wird.
Um dies zu erreichen, kombiniert die Exploit-Kette eine Cross-Site-Scripting (XSS)-Schwachstelle in der “@mentions“-Funktionalität des Teams mit einer Javascript-basierten RCE-Payload, um eine harmlos aussehende Chat-Nachricht zu posten, die eine Benutzererwähnung entweder in Form einer direkten Nachricht oder in einem Kanal enthält.
Der einfache Besuch des Chats auf der Empfängerseite führt zur Ausführung der Payload, die ausgenutzt werden kann, um die SSO-Token der Benutzer zur Exfiltration in den lokalen Speicher zu protokollieren und einen beliebigen Befehl des Angreifers auszuführen.
Dies ist nicht das erste Mal, dass solche RCE-Fehler in Teams und anderen unternehmensorientierten Messaging-Apps beobachtet wurden.
Das Hauptproblem ist eine separate RCE-Sicherheitsanfälligkeit in Microsoft-Teams (CVE-2020-17091), die das Unternehmen im Rahmen seines Patches vom November 2020 im vergangenen Monat gepatcht hat.
Anfang August dieses Jahres hatte Vegeris auch einen kritischen “wurmfähigen” Fehler in der Desktop-Version von Slack offengelegt, der es einem Angreifer ermöglicht hätte, das System zu übernehmen, indem er einfach eine bösartige Datei an einen anderen Slack-Benutzer sendet.
Im September hat der Netzwerkausrüster Cisco eine ähnliche Schwachstelle in seiner Videokonferenz- und Messaging-App Jabber für Windows gepatcht, die es einem authentifizierten Angreifer ermöglicht, beliebigen Code auszuführen.
