Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Neue "GIFShell"-Angriffstechnik nutzt Microsoft Teams GIFs aus
20. September 2022. TuxCare PR Team
Eine neue "GIFShell"-Angriffstechnik nutzt Fehler und Schwachstellen in Microsoft Teams aus, um die legitime Microsoft-Infrastruktur zu missbrauchen, bösartige Dateien und Befehle auszuführen und Daten zu exfiltrieren.
Laut Bobby Rauch, dem Cybersecurity-Berater und Pentester, der die versteckten Schwachstellen entdeckt hat, ermöglicht die "GIFShell"-Technik Angreifern, eine Reverse Shell zu erstellen, die bösartige Befehle über base64-kodierte GIFs in Teams überträgt. Die Ausgaben werden dann über GIFs, die von Microsofts eigener Infrastruktur abgerufen werden, exfiltriert.
Um die Reverse Shell zu erstellen, müssen Angreifer einen Benutzer davon überzeugen, einen bösartigen Stager zu installieren, der Befehle ausführt und die Befehlsausgabe über eine GIF-URL auf einen Microsoft Teams-Web-Hook hochlädt.
Zu den Schwachstellen in Microsoft Teams, die von der Malware ausgenutzt werden, gehört die Umgehung der Microsoft Teams-Sicherheitskontrollen, die es externen Benutzern ermöglicht, Anhänge an Microsoft Teams-Benutzer zu senden.
Die Malware modifiziert auch gesendete Anhänge, damit Benutzer Dateien von einer externen URL anstelle des generierten SharePoint-Links herunterladen können. Sie fälscht Anhänge von Microsoft Teams, um als harmlose Dateien zu erscheinen, lädt aber stattdessen ein bösartiges ausführbares Programm oder Dokument herunter. Er verwendet unsichere URLs, um SMB-NTLM-Hash-Diebstahl oder NTLM-Relay-Angriffe zu ermöglichen.
Microsoft unterstützt den Versand von HTML-basierten, 64-kodierten GIFs, scannt aber nicht den Byte-Inhalt dieser GIFs. Dadurch können bösartige Befehle innerhalb eines normal aussehenden GIFs übermittelt werden. Da Microsoft Teams-Nachrichten in einer parsbaren Datei speichert, die sich lokal auf dem Rechner des Opfers befindet, kann auch ein weniger privilegierter Benutzer darauf zugreifen.
Microsoft-Server rufen GIFs von Remote-Servern ab, die eine Datenexfiltration über GIF-Dateinamen ermöglichen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
