Un fallo de ejecución remota de código (RCE) sin hacer clic en las aplicaciones de escritorio de Microsoft Teams podría haber permitido a un adversario ejecutar código arbitrario simplemente enviando un mensaje de chat especialmente diseñado y comprometiendo el sistema de un objetivo.
«El resultado es una pérdida total de confidencialidad e integridad para los usuarios finales: acceso a chats privados, archivos, red interna, claves privadas y datos personales fuera de MS Teams».
MSFT Security Team
Más aún, el fallo es multiplataforma, lo que afecta a Microsoft Teams para Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) y Web-based (teams.microsoft.com), lo que significa que podría propagarse al enviar automáticamente el payload malicioso a otros canales. Esto también significa que el exploit se puede pasar de una cuenta a un grupo completo de usuarios, comprometiendo así un canal completo.
Para lograr esto, la cadena de exploits une una falla de Cross Site Scripting (XSS) presente en la funcionalidad de @mentions de Teams y un payload de RCE basada en JavaScript para publicar un mensaje de chat de apariencia inofensiva que contiene una mención de usuario en el formulario de un mensaje directo o de un canal. Solo con visitar el chat en el destinatario lleva a la ejecución de la carga útil, lo que permite que se explote para registrar los tokens SSO de los usuarios en el almacenamiento local para su exfiltración y ejecutar cualquier comando que elija el atacante.
El fallo reportado (CVE-2020-17091) ha sido solventado por Microsoft, como parte de su parche de noviembre de 2020.
Se recomienda a los usuarios finales aplicar la actualización de seguridad para la aplicación Microsoft Teams provista por el fabricante, y disponible a través de los diferentes canales.
Referencia: