Regola della Settimana: Abuso dell’Aggiornamento di Microsoft Teams

Dall’inizio della pandemia, le soluzioni per videoconferenze sono diventate parte integrante del flusso di lavoro in molte organizzazioni. Inizialmente, Zoom ha preso il comando e molti criminali informatici hanno subito iniziato a utilizzarlo in campagne di phishing, sfruttando il fatto che un gran numero di dipendenti non aveva mai utilizzato prima questa tecnologia. Ben presto, i ricercatori di sicurezza hanno scoperto lacune che potevano essere chiuse solo parzialmente con le impostazioni giuste, e le organizzazioni sono passate a Google Meet e Microsoft Teams. Naturalmente, i ricercatori di sicurezza hanno iniziato a prestare più attenzione a queste soluzioni e a trovare modi che i criminali informatici possono utilizzare durante gli attacchi. E oggi vi invitiamo a prestare attenzione alla regola della comunità sviluppata da Den Iuzvik che scopre l’abuso dell’aggiornamento di Microsoft Teams: https://tdm.socprime.com/tdm/info/bV4m9VDDoGhV/dfNMw3MBQAH5UgbBqDoT/?p=1

Gli avversari possono utilizzare l’aggiornamento di Microsoft Teams per scaricare qualsiasi binario o payload desiderino poiché l’aggiornamento consente connessioni locali tramite una condivisione o una cartella locale per gli aggiornamenti del prodotto. Pertanto, gli avversari possono inserire il file dannoso all’interno della rete dell’organizzazione presa di mira in una cartella condivisa aperta e quindi accedere al payload da quella condivisione al computer della vittima. Gli attaccanti possono utilizzare questo metodo per nascondere il traffico dannoso e, dato che l’installazione avviene nella cartella Appdata dell’utente locale, non è necessario un accesso privilegiato.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione, Evasione della Difesa

Tecniche: Esecuzione di un Proxy Binario Firmato (T1218)

Pronti a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.