Regel der Woche: Missbrauch des Microsoft Teams Updaters

Seit Beginn der Pandemie sind Videokonferenzlösungen zu einem integralen Bestandteil des Arbeitsablaufs in vielen Organisationen geworden. Zuerst übernahm Zoom die Führung, und viele Cyberkriminelle begannen sofort damit, es in Phishing-Kampagnen zu nutzen, indem sie sich den Umstand zunutze machten, dass eine große Anzahl von Mitarbeitern diese Technologie zuvor noch nicht verwendet hatte. Bald entdeckten Sicherheitsforscher Lücken, die nur teilweise mit den richtigen Einstellungengeschlossen werden konnten, und Organisationen wechselten zu Google Meet und Microsoft Teams. Natürlich begannen Sicherheitsforscher mehr Aufmerksamkeit zu schenken auf diese Lösungen und fanden Wege, wie Cyberkriminelle sie bei Angriffen nutzen können. Und heute laden wir Sie ein, der von der Gemeinschaft entwickelten Regel von Den Iuzvik Aufmerksamkeit zu schenken, die den Missbrauch durch Microsoft Teams Updater aufdeckt: https://tdm.socprime.com/tdm/info/bV4m9VDDoGhV/dfNMw3MBQAH5UgbBqDoT/?p=1

Gegner können den Microsoft Teams Updater verwenden, um beliebige Binärdateien oder Nutzlasten herunterzuladen, da der Updater lokale Verbindungen über ein Share oder einen lokalen Ordner für Produktupdates zulässt. So können Gegner die bösartige Datei in das offene freigegebene Verzeichnis des Zielnetzwerks fallen lassen und dann die Nutzlast von diesem Share auf den Zielrechner zugreifen. Angreifer können diese Methode verwenden, um den bösartigen Datenverkehr zu verbergen, und da die Installation im lokalen Benutzer-Appdata-Ordner erfolgt, sind keine privilegierten Zugriffe erforderlich.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Verteidigungsevasion

Techniken: Signierte Proxy-Ausführung von Binärdateien (T1218)

Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder am Threat Bounty Program teilnehmen , um eigene Inhalte zu erstellen und mit der TDM-Gemeinschaft zu teilen.