Использование GIF-файлов Microsoft Teams действительно ужасная идея
13 сентября 2022 г.В настоящее время пользователи Microsoft Teams могут делиться GIF-файлами, чтобы более точно описать свои эмоции коллегам, однако эксперты предупреждают, что киберпреступники также могут использовать их для выполнения вредоносных команд и кражи конфиденциальных данных, не будучи замеченными антивирусные инструменты.
Консультант по кибербезопасности и пентестер Бобби Раух обнаружил пару уязвимостей в < href="https://www.techradar.com/best/best-video-conferencing-software">платформа для видеоконференций, объединение которых может привести к краже данных и выполнению вредоносного кода.
Это довольно сложная задача, так как злоумышленнику необходимо сделать ряд вещей, в том числе заставить жертву сначала загрузить и установить вредоносный стейджер, способный выполнять команды, и загружать выходные данные команды через URL-адреса GIF в Microsoft. Веб-перехватчики Teams. Стажер будет сканировать Microsoft Teams, где предположительно все полученные сообщения сохраняются и доступны для чтения всем группам пользователей Windows, независимо от их уровня привилегий.
Использование стейджера
После настройки стейджера злоумышленнику потребуется создать новый клиент Teams и связаться с другими участниками Teams за пределами организации. Это, по словам исследователя, не так уж сложно, учитывая, что Microsoft по умолчанию разрешает внешнее общение. Затем, используя написанный исследователем скрипт Python под названием GIFShell, злоумышленник может отправить вредоносный файл .GIF, способный выполнять команды на целевой конечной точке.
И сообщение, и файл .GIF в конечном итоге в папке логов, под бдительным оком стейджера. Затем этот инструмент извлечет команды из .GIF и запустит их на устройстве. Затем GIFShell PoC может использовать выходные данные и преобразовать их в текст base64, а затем использовать его в качестве имени файла для удаленного .GIF, встроенного в карточку опроса Microsoft Teams. Затем стейджер отправляет эту карту в общедоступный веб-хук Microsoft Teams злоумышленника. Затем серверы Microsoft снова подключатся к URL-адресу сервера злоумышленника, чтобы получить .GIF. Затем GIFShell получит запрос и декодирует имя файла, давая субъекту угрозы четкую видимость вывода команды, запущенной на цели конечная точка.
> Microsoft Teams становится скрытой обновить, чтобы повысить производительность Исследователь также добавил, что ничто не мешает злоумышленникам рассылать сколько угодно GIF-файлов с разными вредоносными командами. Более того, учитывая, что трафик, по-видимому, поступает с собственных серверов Microsoft, инструменты кибербезопасности будут считать его законным и не помечать. Узнав об обнаруженных фактах, Microsoft заявила, что не будет их решать, поскольку они не обязательно обходят границы безопасности. «Для этого случая, 72412, хотя это отличное исследование, и команда инженеров постарается улучшить эти области с течением времени, все они являются пост-эксплуатацией и зависят от цели, которая уже скомпрометирована», — по-видимому, сообщила Microsoft. Раух. "Похоже, что границы безопасности не обойдены. Команда разработчиков рассмотрит проблему на предмет возможных будущих изменений дизайна, но группа безопасности не будет отслеживать это".
> Microsoft Teams получает базовую, но мощную новую функцию безопасности
> Это лучшие брандмауэры на данный момент