A Trustwave biztonsági szakemberei egy veszélyes, Living Off the Land típusú technikával kihasználható biztonsági hibát azonosítottak a Microsoft Teams frissítéskezelőjében (MS Teams Updater), ami egy támadó számára lehetővé teheti tetszőleges kód letöltését és futtatását az áldozat rendszerén. A hiba abból fakad, hogy bár egy korábbi patch az URL-en keresztüli frissítést megszüntette a Teams Updaterben, az UNC (Universal Naming Convention) formátumban megadott eléréseket nem. Ezt kihasználva egy támadó hozzáférhet egy általa korábban létrehozott és távoli fájlmegosztással elérhetővé tett fájlhoz, ami káros kódot rejthet magában. Az alapján csupán frissítenie kell az MS Teams programot. A helyzetet súlyosbítja, hogy a Microsoft a biztonsági hibára fényt derítő kutató megkeresésére reagálva elmondta, hogy a fájlmegosztások elérésének korlátozása nem lehetséges, ugyanis ezt jelenleg több ügyfelük is alkalmazza. Megelőző intézkedésként a Microsoft Teams Updater futtatható állományának (update.exe) monitorozása javasolt, amely parancssori paraméterei közt szerepelhet a potenciálisan káros kódot tartalmazó távoli fájlmegosztás elérési útvonala. Ezen felül javasolt még a squirrel.exét érintő anomáliák figyelése, valamint az SMB kapcsolatok nyomon követése, különösen amelyek a MS Teams Updatertől erednek.
