Contattaci
Linkedin-in

Microsoft Teams: GifShell

27 Settembre 2022

GIFShell la nuova minaccia viaggia su Microsoft Teams

È stata rilevata una nuova tecnica di attacco, denominata GIFShell, che consente a un utente malintenzionato di prendere di mira Microsoft Teams, uno degli strumenti più importanti utilizzato in tutto il mondo da diverse aziende e organizzazioni per consentire le comunicazioni tra individui e gruppi che lavorano insieme per un obiettivo comune.

Gli aggressori possono utilizzare questa tecnica negli attacchi di phishing ed eseguire comandi utilizzando le immagini GIF.

Il nuovo attacco è stato scoperto da un ricercatore di sicurezza, Bobby Rauch, che ha individuato alcune vulnerabilità in Microsoft Teams e le ha concatenate per simulare differenti scenari di attacco, tra cui esfiltrazione di dati, esecuzione di comandi, bypass della sicurezza e phishing.

Il componente principale di un attacco è GIFShell, che permette la creazione di una shell inversa. Ciò fornisce comandi dannosi utilizzando GIF con codifica Base64 in Teams e ruba l’output tramite GIF dai server di Microsoft.
Poiché l’esfiltrazione dei dati viene eseguita sfruttando i server di Microsoft, è difficile identificare il traffico e differenziarlo dal traffico legittimo del software.

Nel complesso, la tecnica di attacco utilizza una varietà di difetti e vulnerabilità di Microsoft Teams:

  • Il bypass dei controlli di sicurezza di Microsoft Teams consente agli utenti esterni di inviare allegati agli utenti di Microsoft Teams.
  • Modifica gli allegati inviati in modo che gli utenti scarichino i file da un URL esterno anziché dal collegamento di SharePoint generato.
  • Falsificare gli allegati dei team Microsoft per farli apparire come file innocui ma scaricare un eseguibile o un documento dannoso.
  • Schemi URI non sicuri per consentire il furto di hash NTLM SMB o gli attacchi di inoltro NTLM.
  • Microsoft supporta l’invio di GIF con codifica HTML base64, ma non esegue la scansione del contenuto in byte di tali GIF. Ciò consente di inviare comandi dannosi all’interno di una GIF dall’aspetto normale.
  • Microsoft archivia i messaggi di Teams in un file di registro analizzabile, posizionato localmente sul computer della vittima e accessibile da un utente con privilegi limitati.
  • I server Microsoft recuperano le GIF da server remoti, consentendo l’esfiltrazione dei dati tramite nomi di file GIF.

Attacco tramite shell inversa

Per creare la shell inversa, l’attaccante deve convincere un utente a installare uno stager dannoso che esegue comandi e carica l’output dei comandi tramite l’URL di una GIF in un webhook di Microsoft Teams.

Quindi, l’attaccante inganna l’utente preso di mira facendogli caricare uno stager eseguibile di malware sui propri sistemi che analizzerà regolarmente i registri di Microsoft Teams in una posizione specifica. Tutti i messaggi ricevuti su Teams vengono archiviati in questi registri e sono leggibili da tutti i gruppi di utenti di Windows, quindi accessibili da file dannosi o malware nel sistema.
Una volta posizionato lo stager, l’attaccante crea il proprio tenant di Teams e contatta altri utenti della piattaforma al di fuori dell’organizzazione, poiché la comunicazione esterna risulta abilitata per impostazione predefinita in Teams.

Come difendersi dall’attacco GIFShell

L’attacco GIFShell è stato dimostrato con successo dal ricercatore, mostrando proprio un possibile scenario di sfruttamento. Dopo essere stata contattata dal ricercatore, Microsoft ha affermato di aver lasciato una porta aperta per risolvere questi problemi, seppur non con carattere di urgenza e ha anticipato che queste vulnerabilità potrebbero essere risolte nelle versioni future della piattaforma.

Nel frattempo, però, il problema esiste e potrebbe essere sfruttato, quindi il consiglio è sempre quello di fare grande attenzione al phishing, come dice Microsoft stessa nella sua risposta ufficiale a Bleeping Computer: “è importante tenere presente questo tipo di phishing e, come sempre, consigliamo agli utenti di praticare buone abitudini informatiche online, compresa la cautela quando si fa clic su collegamenti a pagine Web, si aprono file sconosciuti o si accettano trasferimenti di file”.

Come abbiamo visto, anche una semplice immagine GIF, se non trattata adeguatamente, può portare con sé dei pericoli: è bene, dunque, evitare di importare in Teams immagini GIF sconosciute o provenienti da fonti non attendibili e non attese.

Hai paura che i tuoi sistemi possano essere a rischio?
Hai bisogno di un test sulla sicurezza dei tuoi sistemi?
Richiedi la nostra consulenza per garantire la sicurezza dei vostri sistemi.

-Ugo Bonanni

Marketing e Ecommerce PromiGroup

Contattaci per avere informazioni

Scopri la nostra vasta gamma di servizi e competenze. Contattaci compilando il modulo seguente:

News

PromiCloud

Eventi dell’ultimo semestre

Il case History di Sony su una nostra realizzazione

Il nuovo spot commerciale di PromiGroup

End of life – Legacy Sophos

A10 Yealink

PromiGroup Srl
Via Filippo Turati, 18
20843 – Verano Brianza (MB)
+39 039 271651
info@promigroup.com

Sede legale: Via Turati 18
20843 Verano Brianza (MB)
P.IVA IT02766870964
R.E.A. MB – 1556835
Cod. Univoco SUBM70N
Cap. Soc. € 104.000,00 i.v.

Sitemap

Linkedin-in
© Copyright PromiGroup | Cookie policyPrivacy policy

Nel Settembre 2022, dopo molteplici casi di successo, PromiGroup raggiunge i requisiti per poter stringere la propria partnership con Yealink. Possiamo ora aggiungere i loro sistemi di comunicazione audio-video alla nostra offerta. Una azienda che abbiamo visto crescere e diventare uno degli attori principali nel settore.

La politica commerciale della PromiGroup è incentrata su collaborazioni strategiche, che consentano lo sviluppo di un percorso di formazione, di certificazione e di investimenti in ambito tecnico e commerciale.

Tali alleanze contribuiscono a collocare la nostra azienda ai vertici, in termini di competenze e fatturato, per ciascuno dei brand rappresentati.

Come sempre per i nostri clienti puntiamo al massimo della qualità per garantire loro affidabilità ed efficienza.

Il 1° giugno 2016 è stato firmato l’accordo di collaborazione strategica con VEEAM, che ha permesso alla nostra azienda di arricchirsi di un brand che negli ultimi anni ha saputo imporsi a livello mondiale per la qualità e l’innovazione dei propri software.

La politica commerciale della Project Milano (attuale PromiGroup), infatti, dal 2010 è incentrata su collaborazioni strategiche, che consentano lo sviluppo di un percorso di formazione, di certificazione e di investimenti in ambito tecnico e commerciale.

Tali alleanze contribuiscono a collocare la nostra azienda ai vertici, in termini di competenze e fatturato, per ciascuno dei brand rappresentati.

A supporto della nostra strategia abbiamo investito in formazione tanto da essere giunti al conseguimento delle certificazioni.

Come sempre per i nostri clienti puntiamo al massimo della qualità per garantire loro affidabilità ed efficienza.

Sophos protegge oltre 600.000 organizzazioni e più di 100 milioni di utenti in tutto il mondo, garantendo sicurezza contro active adversary, ransomware, phishing, malware e altre minacce.

Scopri di più

Migliori risultati di cybersecurity:
scopri di più sull’assortimento di prodotti Sophos e per trovare la soluzione giusta per i requisiti della tua azienda:

Scopri di più

“Voglio che il messaggio giunga forte e chiaro a tutti, anche ai collaboratori in remoto. Ho paura che un’e-mail non riesca a trasmettere il significato e l’importanza del messaggio.”

“Mi occupo dell’assistenza ai tecnici da oltre sedici mesi. Non so nemmeno che faccia abbiano molti di loro.”

Ognuna di queste situazioni può essere risolta con le soluzioni per videochiamata su dispositivi mobili di LifeSize.

I dipendenti che trascorrono gran parte del tempo lontani dalla sede centrale dell’azienda hanno un forte desiderio di sentirsi connessi, mentre i dirigenti e i colleghi in sede devono essere certi che tutti i dipendenti sul campo ricevano prontamente informazioni aggiornate e dati vitali per il loro lavoro, proprio come se fossero fisicamente presenti.

Le videochiamate per dispositivi mobili LifeSize offrono quest’opportunità, grazie ad una soluzione studiata per smartphone, tablet e portatili.

L’innovativa tecnologia di LifeSize consente, inoltre, di evitare spostamenti superflui, così permettendo un notevole risparmio di denaro, di tempo e di CO2 immessa nell’ambiente.

IN UN MONDO SEMPRE PIÙ CALDO PASSA ALLA STAMPA A FREDDO

Le stampanti inkjet Epson consumano meno energia e contribuiscono a contrastare il riscaldamento globale.

Tecnologia di stampa a freddo

Non possiamo sfuggire al fatto che stiamo vivendo una crisi climatica globale. A meno che le cose non cambino, presto assisteremo ad alcuni radicali cambiamenti negli ecosistemi del pianeta. Ma c’è una cosa che possiamo fare: cambiare il nostro modo di consumare energia.

Bruciare combustibili fossili per creare elettricità produce grandi quantità di CO2. È arrivato il momento di agire, come aziende e a livello personale, per risparmiare energia e iniziare a utilizzare fonti rinnovabili. Fare una scelta sostenibile è un dovere, non un optional.

Nei data center tradizionali, per ogni Watt consumato in potenza di calcolo, 3,3 Watt  vengono consumati per il raffreddamento e le strutture accessorie.

Apc, la Business Unit di Schneider Electric, che offre i Critical Power & Cooling Services, fornisce, assieme a PromiGroup, servizi e soluzioni per progettare e gestire l’infrastruttura fisica del data center all’insegna dell’ottimizzazione dell’energia.

InfraStruxure Management Software integra in un’unica soluzione i sistemi di gestione degli edifici con quelli di gestione dell’infrastruttura fisica del data center, garantendo una  governance complessiva di tutti gli aspetti del  data center stesso: dalla qualità dell’alimentazione di rete alla temperatura dei  raffreddatori, fino al livello di combustibile dei generatori ed alla tolleranza dell’Ups.

La soluzione fornisce informazioni complete sui  costi e sul rendimento energetico attuale e storico dell’impianto, permettendo di individuare le cadute di rendimento e di migliorare i valori Pue (Power usage effectiveness) a livello di sottosistema.

Quella offerta da Apc è una gestione proattiva dell’infrastruttura del data center, attraverso applicazioni software integrate che condividono un database centralizzato e che abilitano la progettazione, il monitoraggio in tempo reale, la gestione dell’inventario e la pianificazione tramite simulazione predittiva.

Quando il Brand ha deciso di avvalersi, per la diffusione dei propri sistemi, di un ristretto numero di Dealer Certificati, Project Milano – ora PromiGroup – ha aderito al programma con grande impulso e lungimiranza, consapevole, fin dal 2010, del valore tecnologico e dell‘indiscussa qualità dei prodotti DELL, oggi fortemente ambiti dal mercato.

La scelta si è, infatti, rivelata vincente ed ha contribuito ad aggiungere valore all’offerta di PromiGroup, che oggi vanta il titolo di Platinum Partner di DELL.

Il rapporto di collaborazione fatto di impegno, dedizione e ingenti investimenti pre e post vendita, inoltre, ha fatto sì che, nell’ottobre 2016, Project Milano – attuale PromiGroup – si aggiudicasse il riconoscimento di Partner of the Year 2016; prestigioso riconoscimento che premia la competenza e i notevoli risultati commerciali conseguiti negli ultimi anni.