GIFShell la nuova minaccia viaggia su Microsoft Teams

È stata rilevata una nuova tecnica di attacco, denominata GIFShell, che consente a un utente malintenzionato di prendere di mira Microsoft Teams, uno degli strumenti più importanti utilizzato in tutto il mondo da diverse aziende e organizzazioni per consentire le comunicazioni tra individui e gruppi che lavorano insieme per un obiettivo comune.

Gli aggressori possono utilizzare questa tecnica negli attacchi di phishing ed eseguire comandi utilizzando le immagini GIF.

Il nuovo attacco è stato scoperto da un ricercatore di sicurezza, Bobby Rauch, che ha individuato alcune vulnerabilità in Microsoft Teams e le ha concatenate per simulare differenti scenari di attacco, tra cui esfiltrazione di dati, esecuzione di comandi, bypass della sicurezza e phishing.

Il componente principale di un attacco è GIFShell, che permette la creazione di una shell inversa. Ciò fornisce comandi dannosi utilizzando GIF con codifica Base64 in Teams e ruba l’output tramite GIF dai server di Microsoft.
Poiché l’esfiltrazione dei dati viene eseguita sfruttando i server di Microsoft, è difficile identificare il traffico e differenziarlo dal traffico legittimo del software.

Nel complesso, la tecnica di attacco utilizza una varietà di difetti e vulnerabilità di Microsoft Teams:

  • Il bypass dei controlli di sicurezza di Microsoft Teams consente agli utenti esterni di inviare allegati agli utenti di Microsoft Teams.
  • Modifica gli allegati inviati in modo che gli utenti scarichino i file da un URL esterno anziché dal collegamento di SharePoint generato.
  • Falsificare gli allegati dei team Microsoft per farli apparire come file innocui ma scaricare un eseguibile o un documento dannoso.
  • Schemi URI non sicuri per consentire il furto di hash NTLM SMB o gli attacchi di inoltro NTLM.
  • Microsoft supporta l’invio di GIF con codifica HTML base64, ma non esegue la scansione del contenuto in byte di tali GIF. Ciò consente di inviare comandi dannosi all’interno di una GIF dall’aspetto normale.
  • Microsoft archivia i messaggi di Teams in un file di registro analizzabile, posizionato localmente sul computer della vittima e accessibile da un utente con privilegi limitati.
  • I server Microsoft recuperano le GIF da server remoti, consentendo l’esfiltrazione dei dati tramite nomi di file GIF.

Attacco tramite shell inversa

Per creare la shell inversa, l’attaccante deve convincere un utente a installare uno stager dannoso che esegue comandi e carica l’output dei comandi tramite l’URL di una GIF in un webhook di Microsoft Teams.

Quindi, l’attaccante inganna l’utente preso di mira facendogli caricare uno stager eseguibile di malware sui propri sistemi che analizzerà regolarmente i registri di Microsoft Teams in una posizione specifica. Tutti i messaggi ricevuti su Teams vengono archiviati in questi registri e sono leggibili da tutti i gruppi di utenti di Windows, quindi accessibili da file dannosi o malware nel sistema.
Una volta posizionato lo stager, l’attaccante crea il proprio tenant di Teams e contatta altri utenti della piattaforma al di fuori dell’organizzazione, poiché la comunicazione esterna risulta abilitata per impostazione predefinita in Teams.

Come difendersi dall’attacco GIFShell

L’attacco GIFShell è stato dimostrato con successo dal ricercatore, mostrando proprio un possibile scenario di sfruttamento. Dopo essere stata contattata dal ricercatore, Microsoft ha affermato di aver lasciato una porta aperta per risolvere questi problemi, seppur non con carattere di urgenza e ha anticipato che queste vulnerabilità potrebbero essere risolte nelle versioni future della piattaforma.

Nel frattempo, però, il problema esiste e potrebbe essere sfruttato, quindi il consiglio è sempre quello di fare grande attenzione al phishing, come dice Microsoft stessa nella sua risposta ufficiale a Bleeping Computer: “è importante tenere presente questo tipo di phishing e, come sempre, consigliamo agli utenti di praticare buone abitudini informatiche online, compresa la cautela quando si fa clic su collegamenti a pagine Web, si aprono file sconosciuti o si accettano trasferimenti di file”.

Come abbiamo visto, anche una semplice immagine GIF, se non trattata adeguatamente, può portare con sé dei pericoli: è bene, dunque, evitare di importare in Teams immagini GIF sconosciute o provenienti da fonti non attendibili e non attese.

Hai paura che i tuoi sistemi possano essere a rischio?

Hai bisogno di un test sulla sicurezza dei tuoi sistemi?

Richiedi la nostra consulenza per garantire la sicurezza dei vostri sistemi.

-Ugo Bonanni

Marketing e Ecommerce PromiGroup