Vulnerabilidad en Microsoft Teams podría permitir a un hacker obtener control completo de su infraestructura

Microsoft Teams, una plataforma diseñada para la gestión de trabajos en equipo en entornos empresariales, contiene una vulnerabilidad que, de ser explotada, permitiría a cualquier usuario inyectar código malicioso en la plataforma y aumentar sus privilegios, reportan especialistas en auditorías de sistemas.

Según los reportes, la vulnerabilidad de Microsoft Team puede ser explotada ejecutado un comando de actualización en la versión de escritorio de la aplicación. Este problema también afecta a las versiones de escritorio de WhatsApp y Github, no obstante, cabe destacar que la vulnerabilidad solo se puede utilizar para descargar una carga útil.

Todas las aplicaciones afectadas por esta falla emplean un proyecto de código abierto llamado Squirrel, usado para administrar la instalación y actualización de rutinas, mientras que el administrador de paquetes NuGet administra los archivos, reportan los expertos en auditorías de sistemas.

La compañía aún no corrige la vulnerabilidad reportada; por su parte, Reegun Richard, encargado de reportar la falla a Microsoft, propuso suspender la plataforma de Team hasta que la compañía resolviera el incidente; no obstante, al descubrir que otros especialistas se encontraban trabajando en esta falla, comenzó a publicar sus hallazgos con el fin de ayudar a su corrección.

El experto descubrió que podía ejecutar código malicioso desde el binario legítimo de Microsoft sin necesidad de incrementar sus privilegios y, en caso de que la aplicación tenga control de los archivos del sistema, los privilegios pueden escalarse con facilidad.

En cuanto a la explotación de la falla, cualquier hacker puede engañar a la función de actualización de Microsoft Teams para descargar el código malicioso usando el binario de la compañía. El atacante debe extraer cualquier paquete nupkg en el que pueda insertar el código shell identificado como “squirrek.exe”. Cuando el hacker crea el paquete adecuado, puede ir a la carpeta de la aplicación y ejecutar el comando update.exe; la aplicación se actualizará y descargará el código shell del atacante.

Expertos en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS), la decisión de Richard de revelar esta vulnerabilidad está relacionada con la tardanza de Microsoft para publicar una actualización, por lo que los usuarios permanecen expuestos.