Règle de la semaine : Abus du mise à jour de Microsoft Teams

Depuis le début de la pandémie, les solutions de visioconférence sont devenues une partie intégrante du flux de travail dans de nombreuses organisations. Tout d’abord, Zoom a pris les devants, et de nombreux cybercriminels ont immédiatement commencé à l’utiliser dans des campagnes de phishing, profitant du fait qu’un grand nombre d’employés n’avait pas utilisé cette technologie auparavant. Bientôt, les chercheurs en sécurité ont découvert des failles qui ne pouvaient être partiellement comblées qu’avec les bons réglages, et les organisations ont basculé vers Google Meet et Microsoft Teams. Naturellement, les chercheurs en sécurité ont commencé à prêter plus d’attention à ces solutions et à trouver des moyens que les cybercriminels peuvent utiliser lors des attaques. Et aujourd’hui, nous vous invitons à prêter attention à la règle communautaire développée par Den Iuzvik qui dévoile l’abus de l’outil de mise à jour de Microsoft Teams : https://tdm.socprime.com/tdm/info/bV4m9VDDoGhV/dfNMw3MBQAH5UgbBqDoT/?p=1

Les adversaires peuvent utiliser le programme de mise à jour de Microsoft Teams pour télécharger tout binaire ou charge utile qu’ils souhaitent car le programme de mise à jour permet des connexions locales via un partage ou un dossier local pour les mises à jour de produits. Ainsi, les adversaires peuvent déposer le fichier malveillant à l’intérieur du réseau de l’organisation ciblée dans un dossier partagé ouvert puis accéder à la charge utile de ce partage vers la machine victime. Les attaquants peuvent utiliser cette méthode pour cacher le trafic malveillant, et comme l’installation se trouve dans le dossier Appdata de l’utilisateur local, aucun accès privilégié n’est nécessaire.

La règle possède des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Évasion de Défense

Techniques : Exécution par Proxy Binaire Signé (T1218)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.