Microsoft Teams-Updater lässt sich für Malware kapern - immer noch

Microsoft Teams ist spätestens seit der Coronakrise für viele zu einem wichtigen Arbeitswerkzeug geworden, entsprechend häufig wird es genutzt. Seit bereits längerem ist bei Teams aber eine Lücke im Updater bekannt, diese kann Microsoft bisher auch nicht vollständig schließen.

Witold Pryjda, 07.08.2020 11:27 Uhr

Update, Sicherheit, Sicherheitslücke, Hacker, Patch, Security, Malware, Angriff, Hack, Linux, Kriminalität, Server, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, Sicherheitslücken, Darknet, Sicherheitsupdate, Hacker Angriff, Hacker Angriffe, Aktienkurs, Hacken, Attack, Hacks, Cyberangriff, Kurs, Crime, Russische Hacker, anti-malware, Sicherheitslösung, Schädling, Risiko, Cyberwar, China Hacker, Sicherheitsrisiko, Malware Warnung, Sicherheitsproblem, Cyberattacke

Dabei handelt es sich um eine so genannte "Living off the Land-Binary"-Attacke (LoLBin). Bei diesem Szenario wird - vereinfacht erklärt - ein Tool oder -Feature verwendet, das in der Ziel-Umgebung einer möglichen Attacke bereits existiert. Im konkreten Fall wird der Updater von Teams missbraucht und wie Bleeping Computer schreibt (via Born City), haben bisherige Bemühungen von Microsoft, diese Lücke zu stopfen, nicht gefruchtet, jedenfalls nicht vollständig. Denn bisherige Gegenmaßnahmen funktionieren "in gewissem Maße", aber eben nicht komplett.

Lücke bereits länger bekannt

Die ursprüngliche "Version" dieser Schwachstelle geht auf das Vorjahr zurück und verlässt sich auf das "Update"-Kommando, um Schadcode auf dem Rechner des Nutzers auszuführen. Vor den Gegenmaßnahmen Microsofts war es möglich, Malware von einer externen URL herunterzuladen, um diese dann auf dem System als vertrauenswürdig auszuführen.

Einführung in Microsoft Teams

Dagegen ging Microsoft auch vor, doch eine spätere Version dieses Angriffsszenarios, die vom Reverse Engineer Reegun Richard J entdeckt wurde, modifizierte den Vorgang. Ein Angreifer konnte dasselbe Ergebnis erreichen, indem ein Schein-Microsoft-Teams-Paket, in dem die "originale" Update.exe steckt, zum Einsatz kam.

Inzwischen ist es nicht länger möglich, die Schaddateien von einer externen Ort zu laden, sondern nur noch per Freigabe oder einen lokalen Ordner. Laut dem Sicherheitsforscher ist die Umgehung dieser Lösung zwar wesentlicher komplizierter, aber eben nach wie vor möglich.

Das Ganze ließe sich nur über eine Einschränkung der SMB-Quellen lösen, das sei laut Microsoft aber per Design nicht möglich, weil es Kunden gebe, die sich darauf verlassen. Wie die Redmonder das stattdessen lösen wollen, ist derzeit nicht bekannt.

Download Microsoft Teams Download Teams: Gratis-Handbuch mit Tipps und Tricks

Thema:

Office

Kommentieren5

Hinweis einsenden

Weitere Nachrichten zum Thema Microsoft Teams bekommt etliche kleinere und größere NeuerungenMicrosoft entdeckt Adrozek-Malware: Angriff auf alle großen BrowserMicrosoft Teams bekommt Telefonanrufe und bis zu 20.000 TeilnehmerMicrosoft Inspire 2020: Neuigkeiten zu Microsoft 365 und TeamsMicrosoft Teams erlaubt 300 Teilnehmer, 7×7-Videogespräche kommenMicrosoft Teams für alle: Preview der Familien-Version startet