Las vulnerabilidades en los diferentes sistemas hoy en día se han vuelto algo muy popular, y Microsoft no es la excepción, pues se ha conocido que a pesar de las medidas tomadas por la compañía, los hacker aún pueden instalar a través de Microsoft Teams un malware a través de un recurso compartido SMB remoto, debido a un error en el actualizador.

En el pasado, Microsoft trabajó en mitigar un error que permitía ejecutar un malware en el sistema desde un ejecutable marcado como confiable en Microsoft Team, permitiendo que solo las rutas de red locales accedieran y actualizaran el paquete Teams a través de la URL del actualizador.

Vulnerabilidad en el actualizador de Microsoft Teams

En este punto, Microsoft trató de mitigar el error, añadiendo una verificación en la URL, permitiendo el acceso solo a rutas de red locales para las cadenas “http / s”, “:”, “/” y los números de puerto, bloqueando la conexión si están presentes.

Sin embargo, la fuente señala que el investigador, Reegun Jayapaul de Trustwave descubrió que el actualizador aún permite realizar conexiones locales a través de un recurso compartido o una carpeta local para las actualizaciones de los productos, una medida que le brinda a los hackers una puerta para entrar al sistema y ejecutar código malicioso.

A la espera de futuras actualizaciones

Jayapaul de Trustwave al analizar el método de mitigación implementado por Microsoft en el pasado se percató de que esta no era una solución completa, pues este parche solo restringía la capacidad de actualizar la aplicación a través de una URL.

Aunque Jayapaul señala que al conocer esta brecha de seguridad contactó rápidamente a Microsoft, a lo que la compañía respondió agradeciendo su contribución y señalando que “ese comportamiento se considera por diseño”, ya que “no pueden restringir la fuente de SMB para la actualización” para no afectar a sus clientes.

Es por ello, que el investigador recomienda monitorear las líneas de comando “update.exe” para conexiones dudosas, verificar el tamaño del archivo “squirrel.exe”, comprobaciones de hash, seguimiento de las conexiones SMB y del actualizador de Microsoft Teams para descubrir los ataques en progreso.