Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
La nueva técnica de ataque "GIFShell" aprovecha los GIF de Microsoft Teams
20 de septiembre de 2022 - Equipo de Relaciones Públicas de TuxCare
Una nueva técnica de ataque 'GIFShell" aprovecha errores y vulnerabilidades en Microsoft Teams para abusar de la infraestructura legítima de Microsoft, ejecutar archivos maliciosos, ejecutar comandos y exfiltrar datos.
Según Bobby Rauch, el consultor de ciberseguridad y pentester que descubrió las vulnerabilidades ocultas, la técnica "GIFShell" permite a los atacantes crear una shell inversa que transmite comandos maliciosos a través de GIFs codificados en base64 en Teams. A continuación, los resultados se filtran a través de GIF recuperados por la propia infraestructura de Microsoft.
Para crear el shell inverso, los atacantes necesitan convencer a un usuario para que instale un stager malicioso que ejecute comandos y suba la salida de los comandos a través de una URL GIF a un gancho web de Microsoft Teams.
Entre las vulnerabilidades de Microsoft Teams explotadas por el malware se incluye la elusión de los controles de seguridad de Microsoft Teams, que permite a usuarios externos enviar archivos adjuntos a usuarios de Microsoft Teams.
El malware también modifica los archivos adjuntos enviados para permitir a los usuarios descargar archivos desde una URL externa en lugar del enlace generado de SharePoint. Falsifica archivos adjuntos de Microsoft Teams para que parezcan archivos inofensivos, pero en su lugar descarga un programa o documento ejecutable malicioso. Utiliza URL inseguras para permitir el robo de hash SMB NTLM o ataques de retransmisión NTLM.
Microsoft admite el envío de GIF con codificación 64 basados en HTML, pero no analiza el contenido en bytes de estos GIF. Esto permite entregar comandos maliciosos dentro de un GIF de aspecto normal. Dado que Microsoft almacena los mensajes Teams en un archivo analizable ubicado localmente en la máquina de la víctima, un usuario con menos privilegios puede acceder a él.
Los servidores de Microsoft obtienen archivos GIF de servidores remotos que permiten la filtración de datos a través de nombres de archivos GIF.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
