Regra da Semana: Abuso do Atualizador do Microsoft Teams

Desde o início da pandemia, as soluções de videoconferência se tornaram parte integrante do fluxo de trabalho em muitas organizações. Primeiro, o Zoom assumiu a liderança, e muitos cibercriminosos começaram imediatamente a usá-lo em campanhas de phishing, aproveitando-se do fato de que um grande número de funcionários não tinha utilizado essa tecnologia anteriormente. Logo, os pesquisadores de segurança descobriram lacunas que só podiam ser parcialmente fechadas com as configurações corretas, e as organizações mudaram para o Google Meet e o Microsoft Teams. Naturalmente, os pesquisadores de segurança começaram a prestar mais atenção a essas soluções e a encontrar maneiras que os cibercriminosos possam usar durante os ataques. E hoje convidamos você a prestar atenção à regra comunitária desenvolvida por Den Iuzvik que revela o abuso do atualizador do Microsoft Teams: https://tdm.socprime.com/tdm/info/bV4m9VDDoGhV/dfNMw3MBQAH5UgbBqDoT/?p=1

Os adversários podem usar o Atualizador do Microsoft Teams para baixar qualquer binário ou carga que desejarem, já que o atualizador permite conexões locais via um compartilhamento ou pasta local para atualizações de produtos. Assim, os adversários podem colocar o arquivo malicioso dentro da rede da organização alvo em uma pasta compartilhada aberta e, em seguida, acessar a carga útil desse compartilhamento para a máquina da vítima. Os atacantes podem usar esse método para esconder o tráfego malicioso, e como a instalação é na pasta Appdata do usuário local, não é necessário acesso privilegiado.

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Evasão de Defesa

Técnicas: Execução de Proxy de Binários Assinados (T1218)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou participe do Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.