Μια νέα τεχνική επίθεσης που ονομάζεται “GIFShell” επιτρέπει στους παράγοντες απειλών να κάνουν κατάχρηση του Microsoft Teams για νέες επιθέσεις phishing και κρυφά την εκτέλεση εντολών για την κλοπή δεδομένων χρησιμοποιώντας … GIF.
Το νέο σενάριο επίθεσης δείχνει πώς οι εισβολείς μπορούν να συνδυάσουν πολλές ευπάθειες και ελαττώματα του Microsoft Teams για κατάχρηση της νόμιμης υποδομής της Microsoft για την παράδοση κακόβουλων αρχείων, εντολών και την εκτέλεση δεδομένων εξαγωγής μέσω GIF.
Καθώς η εξαγωγή δεδομένων πραγματοποιείται μέσω των διακομιστών της Microsoft, η κίνηση θα είναι πιο δύσκολο να εντοπιστεί από λογισμικό ασφαλείας που τη βλέπει ως νόμιμη κίνηση της Ομάδας της Microsoft.
Συνολικά, η τεχνική επίθεσης χρησιμοποιεί μια ποικιλία ελαττωμάτων και τρωτών σημείων του Microsoft Teams:
- Η παράκαμψη των στοιχείων ελέγχου ασφαλείας του Microsoft Teams επιτρέπει σε εξωτερικούς χρήστες να στέλνουν συνημμένα σε χρήστες του Microsoft Teams.
- Τροποποιήστε τα απεσταλμένα συνημμένα ώστε οι χρήστες να κατεβάζουν αρχεία από μια εξωτερική διεύθυνση URL και όχι από τη σύνδεση του SharePoint που δημιουργήθηκε.
- Παραπλανήστε τα συνημμένα ομάδων της Microsoft ώστε να εμφανίζονται ως αβλαβή αρχεία, αλλά να κάνετε λήψη ενός κακόβουλου εκτελέσιμου αρχείου ή εγγράφου.
- Μη ασφαλή σχήματα URI που επιτρέπουν την κλοπή κατακερματισμού SMB NTLM ή επιθέσεις αναμετάδοσης NTLM.
- Η Microsoft υποστηρίζει την αποστολή GIF με κωδικοποίηση HTML base64, αλλά δεν σαρώνει το περιεχόμενο byte αυτών των GIF. Αυτό επιτρέπει την παράδοση κακόβουλων εντολών μέσα σε ένα GIF με κανονική εμφάνιση.
- Η Microsoft αποθηκεύει τα μηνύματα του Teams σε ένα αρχείο καταγραφής με δυνατότητα ανάλυσης, που βρίσκεται τοπικά στον υπολογιστή του θύματος και είναι προσβάσιμο από έναν χρήστη με χαμηλά προνόμια.
- Οι διακομιστές της Microsoft ανακτούν GIF από απομακρυσμένους διακομιστές, επιτρέποντας την εξαγωγή δεδομένων μέσω ονομάτων αρχείων GIF.