마이크로소프트 팀즈 GIF를 악용하는 새로운 'GIF셸' 공격 기법

새로운 'GIFShell' 공격 기법은 Microsoft Teams의 버그와 취약점을 악용하여 합법적인 Microsoft 인프라를 악용하고, 악성 파일을 실행하고, 명령을 실행하고, 데이터를 유출합니다.

숨겨진 취약점을 발견한 사이버 보안 컨설턴트이자 펜테스터인 바비 라우치에 따르면, 공격자는 'GIF셸' 기술을 사용하여 Teams에서 base64로 인코딩된 GIF를 통해 악성 명령을 전송하는 리버스 셸을 만들 수 있다고 합니다. 그런 다음 Microsoft의 자체 인프라에서 검색된 GIF를 통해 출력이 유출됩니다.

공격자가 리버스 셸을 만들려면 사용자가 명령을 실행하고 GIF URL을 통해 명령 출력을 Microsoft Teams 웹 후크에 업로드하는 악성 스테이저를 설치하도록 유도해야 합니다.

이 악성 코드가 악용하는 Microsoft Teams 취약점에는 외부 사용자가 Microsoft Teams 사용자에게 첨부 파일을 보낼 수 있도록 허용하는 Microsoft Teams 보안 제어 우회 기능이 포함되어 있습니다.

또한 이 악성 코드는 전송된 첨부 파일을 수정하여 사용자가 생성된 SharePoint 링크 대신 외부 URL에서 파일을 다운로드할 수 있도록 합니다. 이 악성 코드는 무해한 파일로 보이도록 Microsoft Teams의 첨부 파일을 위조하지만, 대신 악성 실행 프로그램이나 문서를 다운로드합니다. 안전하지 않은 URL을 사용하여 SMB NTLM 해시 도용 또는 NTLM 릴레이 공격을 허용합니다.

Microsoft는 HTML 기반 64-인코딩 GIF 전송을 지원하지만 이러한 GIF의 바이트 콘텐츠는 검사하지 않습니다. 따라서 정상적으로 보이는 GIF 내에 악성 명령이 전달될 수 있습니다. Microsoft는 Teams 메시지를 피해자의 컴퓨터에 로컬로 위치한 구문 분석 가능한 파일에 저장하기 때문에 권한이 낮은 사용자가 이 파일에 액세스할 수 있습니다.

Microsoft 서버는 원격 서버에서 GIF 파일 이름을 통해 데이터 유출을 허용하는 GIF를 가져옵니다.

이 글의 출처는 BleepingComputer의 기사입니다.