新的“GIFShell”攻擊技術利用微軟團隊的 GIF

一種新的「GIFShell」攻擊技術利用微軟團隊中的錯誤和漏洞來濫用合法的微軟基礎設施、執行惡意檔、執行命令和泄露數據。

根據發現隱藏漏洞的網路安全顧問和滲透測試員Bobby Rauch的說法，“GIFShell”技術允許攻擊者創建一個反向shell，通過Teams中的base64編碼GIF傳輸惡意命令。然後，輸出通過微軟自己的基礎設施檢索到的 GIF 進行滲透。

若要創建反向 shell，攻擊者需要誘使用戶安裝惡意暫存程式，該暫存程式執行命令並通過 GIF URL 將命令輸出上傳到 Microsoft 團隊 Web 掛鉤。

惡意軟體利用的Microsoft Teams漏洞包括Microsoft Teams安全控制繞過，該繞過允許外部使用者向Microsoft Teams用戶發送附件。

該惡意軟體還會修改發送的附件，以允許使用者從外部 URL 而不是生成的 SharePoint 鏈接下載檔。它偽造來自 Microsoft 團隊的附件以顯示為無害檔，但會下載惡意的可執行程式或文檔。它使用不安全的 URL 來允許 SMB NTLM 哈希盜竊或 NTLM 中繼攻擊。

Microsoft 支援發送基於 HTML 的 64 編碼 GIF，但不掃描這些 GIF 的位元組內容。這允許惡意命令在外觀正常的 GIF 中傳遞。由於 Microsoft 將團隊消息儲存在位於受害者電腦上本地的可解析檔中，因此許可權較低的使用者可以訪問該檔。

微軟伺服器從遠端伺服器獲取GIF，允許通過GIF檔名泄露數據。

這篇文章的來源包括 BleepingComputer上的一篇文章。