Un error de ejecución remota de código (RCE) sin clic en las aplicaciones de escritorio de Microsoft Teams podría haber permitido que un adversario ejecutara código arbitrario simplemente enviando un mensaje de chat especialmente diseñado y comprometiendo el sistema de un objetivo.

Los problemas fueron informados al fabricante de Windows por Oskars Vegeris, un ingeniero de seguridad de Evolution Gaming, el 31 de agosto de 2020, antes de que se abordaran a fines de octubre.

Microsoft no asignó un CVE a esta vulnerabilidad, afirmando que «actualmente, la política de Microsoft es no emitir CVE en productos que se actualizan automáticamente sin la interacción del usuario».

«No se requiere interacción del usuario, el exploit se ejecuta al ver el mensaje de chat», explicó Vegeris en un artículo técnico.

El resultado es una «pérdida total de confidencialidad e integridad para los usuarios finales: acceso a chats privados, archivos, red interna, claves privadas y datos personales fuera de MS Teams», agregó el investigador.

Peor aún, el RCE es multiplataforma y afecta a Microsoft Teams para Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) y la web (teams.microsoft.com) – y podría convertirse en gusano, lo que significa que podría propagarse al volver a publicar automáticamente la carga útil maliciosa en otros canales.

Esto también significa que el exploit puede transmitirse de una cuenta a todo un grupo de usuarios, comprometiendo así un canal completo.

Para lograr esto, la cadena de exploits une una falla de secuencias de comandos entre sitios (XSS) presente en la funcionalidad de Teams ‘@mentions’ y una carga útil de RCE basada en JavaScript para publicar un mensaje de chat de apariencia inofensiva que contiene una mención de usuario en el formulario de un mensaje directo o a un canal.

Simplemente visitar el chat en el extremo del destinatario conduce a la ejecución de la carga útil, lo que permite que se explote para registrar los tokens SSO de los usuarios en el almacenamiento local para la exfiltración y ejecutar cualquier comando que elija el atacante.

Esta no es la primera vez que se observan tales fallas de RCE en Teams y otras aplicaciones de mensajería centradas en la empresa.

El principal de ellos es una vulnerabilidad RCE separada en Microsoft Teams (CVE-2020-17091) que la compañía parchó como parte de su Patch Tuesday de noviembre de 2020 el mes pasado.

A principios de agosto, Vegeris también reveló una falla crítica «gusana» en la versión de escritorio de Slack que podría haber permitido que un atacante se apoderara del sistema simplemente enviando un archivo malicioso a otro usuario de Slack.

Luego, en septiembre, el fabricante de equipos de red Cisco reparó una falla similar en su aplicación de mensajería y videoconferencia Jabber para Windows que, si se explota, podría permitir que un atacante remoto autenticado ejecute código arbitrario.