0x00简介:
红队成员喜欢通过“合法”渠道寻找新的代码执行方法.这次,Microsoft Team 也是利用的目标.Team是一个有趣的利用点,因为它使用了称为Electron的现代技术....Teams Updater将仅允许本地网络路径访问和更新,这意味着它将在更新程序URL,块和日志中检测字符串
"http/s", ":", "/"
和端口号下的活动
%localappdata%\...Microsoft\Teams\SquirrelSetup.log
它允许以本地UNC格式进行共享访问:
\\ server \
要利用此漏洞,攻击者需要:
在打开的共享文件夹中获取网络内部的文件.从该共享访问有效负载到受害机器...api=1&player_id=vimeo_id_0
0x09影响:
Microsoft Teams Update.exe二进制文件将充当LOLbin(删除Land二进制文件)
由于安装位于本地用户...,请验证大小和哈希值,寻找任何异常情况.研究传出的SMB连接,尤其是从Microsoft Teams更新程序update.exe中进行传出的SMB连接,或者在必要时完全在外围过滤SMB连接.