Microsoft Teams可被用来执行任意payload

Microsoft Teams是一款基于聊天的智能团队协作工具，可以同步进行文档共享，并为成员提供包括语音、视频会议在内的即时通讯工具。攻击者可以用Microsoft Teams的mock installation文件夹中的真实二进制文件来执行恶意payload。该问题影响大多数使用Squirrel安装和更新框架的Windows桌面APP，该开使用NuGet包。研究人员测试发现受影响的应用包括WhatsApp, Grammarly, GitHub, Slack 和 Discord。 易构建包逆向工程师Reegun Richard发现他可以创建一个伪造的Microsoft Teams包，并使用签名的二进制文件来执行特定位置展示的内容。研究人员实验的过程中发现整个过程除了攻击者创建的一个最小包外不需要目标系统上的任何资源。研究人员发现在正常的Microsoft Teams安装过程中，需要真实的Update.exe文件和cur ………………………………