Une nouvelle technique d'attaque "GIFShell" exploite les GIF de Microsoft Teams

Obanla Opeyemi

20 septembre 2022 - L'équipe d'experts de TuxCare

Une nouvelle technique d'attaque "GIFShell" exploite des bogues et des vulnérabilités dans Microsoft Teams pour abuser de l'infrastructure légitime de Microsoft, exécuter des fichiers malveillants, exécuter des commandes et exfiltrer des données.

Selon Bobby Rauch, le consultant en cybersécurité et pentester qui a découvert les vulnérabilités cachées, la technique "GIFShell" permet aux attaquants de créer un reverse shell qui transmet des commandes malveillantes via des GIF codés en base64 dans Teams. Les sorties sont ensuite exfiltrées par le biais de GIFs récupérés par la propre infrastructure de Microsoft.

Pour créer le reverse shell, les attaquants doivent convaincre un utilisateur d'installer un stager malveillant qui exécute des commandes et télécharge la sortie de commande via une URL GIF vers un crochet web Microsoft Teams.

Les vulnérabilités de Microsoft Teams exploitées par le malware comprennent le contournement des contrôles de sécurité de Microsoft Teams, qui permet à des utilisateurs externes d'envoyer des pièces jointes aux utilisateurs de Microsoft Teams.

Le malware modifie également les pièces jointes envoyées pour permettre aux utilisateurs de télécharger des fichiers à partir d'une URL externe au lieu du lien SharePoint généré. Il falsifie les pièces jointes de Microsoft Teams pour les faire passer pour des fichiers inoffensifs, mais télécharge en fait un programme exécutable ou un document malveillant. Il utilise des URL non sécurisées pour permettre le vol du hachage NTLM de SMB ou des attaques par relais NTLM.

Microsoft prend en charge l'envoi de GIFs codés 64 en HTML, mais n'analyse pas le contenu en octets de ces GIFs. Cela permet de transmettre des commandes malveillantes dans un GIF d'apparence normale. Comme Microsoft stocke les messages Teams dans un fichier analysable situé localement sur la machine de la victime, un utilisateur moins privilégié peut y accéder.

Les serveurs de Microsoft récupèrent des GIF à partir de serveurs distants, ce qui permet l'exfiltration de données via les noms de fichiers GIF.

Les sources de cet article comprennent un article de BleepingComputer.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Solutions

Ressources

Gagner du temps jusqu'au prochain cycle de correctifs

Qui nous servons

Live Patching dans le cadre des modèles Purdue et Gartner pour ICS/OT/IIoT

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

Une nouvelle technique d'attaque "GIFShell" exploite les GIF de Microsoft Teams

Obanla Opeyemi

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Solutions

Ressources

Gagner du temps jusqu'au prochain cycle de correctifs

Qui nous servons

Live Patching dans le cadre des modèles Purdue et Gartner pour ICS/OT/IIoT

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

Une nouvelle technique d'attaque "GIFShell" exploite les GIF de Microsoft Teams

Obanla Opeyemi

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Rejoindre

4,500