Новая атака GIFShell нацелена на Microsoft Teams

 
 

Консультант по кибербезопасности обнаружил новую цепочку атак, которая использует изображения GIF в Microsoft Teams для выполнения произвольных команд на целевой машине.

Эксплойт, обнаруженный Бобби Раухом, получил название «GIFShell», а основным компонентом является GIF-изображение, содержащее скрытый скрипт Python. Этот созданный образ отправляется пользователю Microsoft Teams для создания обратной оболочки.

Злоупотребляя законной инфраструктурой Microsoft, злоумышленник может обойти элементы управления безопасностью, представить вредоносные файлы как безвредные и удалить важные данные. Чтобы сделать все это, злоумышленнику нужно, чтобы жертвы установили «Stager», который представляет собой исполняемый файл, который фактически будет выполнять команды, встроенные в GIF.

Однако исследования показывают, что такая установка может быть достигнута в самих командах Microsoft с помощью очень убедительных вложений, без какой-либо социальной инженерии или дополнительного использования другого приложения.

«Это исследование демонстрирует, как можно отправлять очень убедительные фишинговые вложения жертвам через Microsoft Teams без какой-либо возможности для пользователя предварительно проверить, является ли связанное вложение вредоносным или нет», — написал Раух.

Любое вложение Teams может выглядеть законным

Действительно, Microsoft Teams поддерживает такие функции, как Deep Linking, но ему не хватает надлежащей очистки и проверки, что позволяет использовать потенциально небезопасные схемы URI. Раух обнаружил, что Teams будет пытаться отображать файлы в очереди, даже если приложение не знает, как отображать формат (например, DLL), что делает любое вложение видимым как допустимое.

«Когда файл загружается в Microsoft Teams в сообщении разрешенному пользователю, например коллеге в организации Azure, Microsoft создает ссылку Sharepoint на файл, которую могут просматривать только отправитель и получатель сообщения команды», — Раух. написал. «Когда пользователь затем нажимает «Отправить» в сообщении Teams, содержащем вложение, тело JSON отправляется в запросе POST на конечную точку Teams, содержащую ссылку Sharepoint на файл и несколько других атрибутов файла».

Тело JSON может быть изменено злоумышленником, чтобы позволить внешнему пользователю получить доступ к вложению Teams, несмотря на ограничения по умолчанию, и передавать вредоносные файлы без какой-либо возможности обнаружения (например, на предварительных экранах).

После установки исполняемый файл может отслеживать журналы Microsoft Teams для обнаружения и извлечения команд, закодированных в base64. Злоумышленникам нужно только создать собственный клиент Microsoft Teams и связаться с жертвами за пределами своей организации, например, через внешние встречи или чат. Затем они могут отправлять созданные GIF-изображения, содержащие вредоносные команды, которые должны быть выполнены Stager на целевой машине. Журналы Teams содержат копии сообщений Teams, которые могут быть прочитаны всеми группами пользователей Windows.

Stager будет использовать выходные данные выполненных команд в качестве имени файла (текст base64) удаленного GIF-файла, встроенного в адаптивную карту, отправленную по URL-адресу для входящего соединителя веб-перехватчика, созданного для канала Teams в клиенте злоумышленников.

Каждый раз, когда серверы Microsoft будут пытаться получить GIF-изображение, они будут подключаться к серверу злоумышленника для доставки информации.

Эта умная стратегия позволяет злоумышленникам обходить инструменты безопасности Microsoft и незаметно извлекать данные.

Как смягчить уязвимости GIFShell

Об этой цепочке уязвимостей сообщили Microsoft в июне 2022 года, но компания решила, что исследование не соответствует «планке для немедленного обслуживания».

Другими словами, она пока не является приоритетной, но это не значит, что она не будет исправлена. А пока Раух рекомендует следующие меры:

  • Убедитесь, что пользователи обучены не нажимать на вложения от неизвестных внешних отправителей.
  • Внедрите политику безопасных вложений в Microsoft Defender для Office 365, чтобы предотвратить атаку «Диск — путем загрузки».
  • Включите подписывание SMB или полностью отключите NTLM, а также обеспечьте наличие сложной политики паролей для предотвращения атак NTLM.

Следует также отметить, что Microsoft Teams позволяет вносить внешние домены в белый список в настройках пользователя (см. Внешний доступ), поэтому теоретически вы можете предотвратить такие нежелательные связи со случайными внешними организациями.

Красные команды и пентестеры могут попытаться воспроизвести атаку, выполнив предварительные условия и шаги репликации, указанные Раухом в его отчете.

3D-печать5GABC-анализAndroidAppleAppStoreAsusCall-центрCRMDellDNSDrupalFacebookFMCGGoogleHuaweiInstagramiPhoneLinkedInLinuxMagentoMicrosoftNvidiaOpenCartPlayStationPOS материалPPC-специалистRuTubeSamsungSEO-услугиSMMSnapchatSonyStarlinkTikTokTwitterUbuntuUp-saleViasatVPNWhatsAppWindowsWordPressXiaomiYouTubeZoomАвдеевкаАктивные продажиАкцияАлександровск ЛНРАлмазнаяАлчевскАмвросиевкаАнализ конкурентовАнализ продажАнтимерчандайзингАнтрацитАртемовскАртемовск ЛНРАссортиментная политикаБелгородБелицкоеБелозерскоеБердянскБизнес-идеи (стартапы)БрендБрянкаБукингВахрушевоВендорВикипедияВирусная рекламаВирусный маркетингВладивостокВнутренние продажиВнутренний маркетингВолгоградВолновахаВоронежГорловкаГорнякГорскоеДебальцевоДебиторкаДебиторская задолженностьДезинтермедитацияДзержинскДивизионная система управленияДизайнДимитровДирект-маркетингДисконтДистрибьюторДистрибьюцияДобропольеДокучаевскДоменДружковкаЕкатеринбургЕнакиевоЖдановкаЗапорожьеЗимогорьеЗолотоеЗоринскЗугрэсИжевскИловайскИрминоКазаньКалининградКировскКировскоеКомсомольскоеКонстантиновкаКонтент-маркетингКонтент-планКопирайтингКраматорскКрасноармейскКрасногоровкаКраснодарКраснодонКраснопартизанскКрасный ЛиманКрасный ЛучКременнаяКураховоКурскЛисичанскЛуганскЛутугиноМакеевкаМариупольМаркетингМаркетинговая информацияМаркетинговые исследованияМаркетинговый каналМаркетинг услугМаркетологМарьинкаМедиаМелекиноМелитопольМенеджментМерчандайзерМерчандайзингМиусинскМолодогвардейскМоскваМоспиноНижний НовгородНиколаевНиколаевкаНишевой маркетингНовоазовскНовогродовкаНоводружескНовосибирскНумерическая дистрибьюцияОдессаОмскОтдел маркетингаПартизанский маркетингПервомайскПеревальскПетровскоеПопаснаяПравило ПаретоПривольеПрогнозирование продажПродвижение сайтов в ДонецкеПромоПромоушнПрямой маркетингРабота для маркетологаРабота для студентаРазработка приложенийРаспродажаРегиональные продажиРекламаРеклама на асфальтеРемаркетингРетро-бонусРибейтРитейлРовенькиРодинскоеРостов-на-ДонуРубежноеСамараСанкт-ПетербургСаратовСватовоСвердловскСветлодарскСвятогорскСевастопольСеверодонецкСеверскСедовоСейлз промоушнСелидовоСимферопольСинергияСколковоСлавянскСнежноеСоздание сайтов в ДонецкеСоледарСоциальные сетиСочиСтаробельскСтаробешевоСтахановСтимулирование сбытаСуходольскСчастьеТелемаркетингТельмановоТираспольТорговый представительТорезТрейд маркетингТрейд промоушнТюменьУглегорскУгледарУкраинскХабаровскХарцызскХерсонХостингЦелевая аудиторияЧасов ЯрЧелябинскШахтерскЮжно-СахалинскЮнокоммунаровскЯндексЯсиноватая