Эти GIF-файлы в командах Microsoft могут быть забавными, но также могут украсть ваши данные


Независимо от того, как вы это произносите, GIF-файлы забавны и интересны для большинства людей и вызывают легкое раздражение для остальных. К сожалению для пользователей Microsoft Teams, они также представляют опасность для их систем. Появилось новое вредоносное ПО, известное как GIFShell, и вектором атаки является Microsoft Teams .
Найденный исследователем безопасности Бобби Раухом, GIFShell сам по себе является довольно опасным вектором атаки. Ранее Бобби обнаружил атаки «Добрый самаритянин» с использованием Apple Airtags. Однако GIFShell использует множество недостатков безопасности в популярном приложении для чатов и собраний. Конечным результатом этих эксплойтов является то, что злоумышленник может получить доступ к оболочке удаленного пользователя.

Промо скриншотов Teams от Microsoft
В конечном счете, для атаки требуется по крайней мере один пользователь в организации, использующей Teams, для установки стейджера, но некоторые работы по социальной инженерии могут быстро справиться с этим шагом в процессе. После установки стейджера вредоносный код отслеживает файлы журнала Teams на наличие GIF-файлов. Если обнаруживается base64 GIF, он затем декодирует base64 и встраивает в него свой собственный вредоносный код. Затем URL-адрес GIF переписывается для отображения, встраиваясь из URL-адреса злоумышленника. Затем этот URL-адрес маскируется под карточку Teams, которая не показывает никакой информации о том, куда указывает GIF. Эта карточка Teams содержит данные, которые будут использоваться позже.


Короткое видео об использовании GIFShell. Источник: Бобби Раух.
На этом этапе процесса GIF-файлы автоматически загружаются и запускают веб-перехватчик, подтверждающий злоумышленнику, что злонамеренный доступ доступен. Далее злоумышленнику нужно только запустить команды из своей удаленной оболочки. Это позволяет выполнять вредоносные команды, запускать вредоносный код, загружать файлы, собирать или красть данные — все это довольно неприятно.

Итак, что же такое смягчение для Teams? Ну, один из основных векторов атаки — это Teams, позволяющая настроить внешний доступ. Администраторы Teams могут отключить это с помощью инструкций от Microsoft . , но некоторым организациям все еще может понадобиться этот доступ. Например, рекрутинговой организации может потребоваться организовать интервью от имени своего клиента. В таких случаях лучше всего использовать гостевую функцию Teams, которая представляет собой версию приложения с ограниченным доступом. Следующие варианты смягчения последствий — отслеживание необычного доступа к файлам журналов Teams и отслеживание необычных запросов, связанных с сервером поиска Teams.

изображение команды изменить это
Настройки безопасности для администраторов. Источник: Бобби Раух.
Теперь, когда этот вектор атаки стал общедоступным , мы надеемся, что Microsoft скоро исправит эти опасные векторы атак. В то же время всегда лучше быть осторожным с тем, по каким ссылкам вы нажимаете и какие изображения загружаете.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал