GIF может использоваться для запуска вредоносного кода в Microsoft Teams

Пользователи Microsoft Teams в настоящее время могут делиться GIF-файлами, чтобы более точно описать свои эмоции своим коллегам, однако эксперты предупреждают, что киберпреступники также могут использовать их для выполнения вредоносных команд и кражи конфиденциальных данных. Антивирус не обнаружит хакеров.

GIF может использоваться для запуска вредоносного кода в Microsoft Teams. Фото: из архива компании

Консультант по кибербезопасности Бобби Раух обнаружил пару уязвимостей в платформе для видеоконференций, которые в совокупности могут привести к краже данных и выполнению вредоносного кода.

Это также требует усилий, поскольку злоумышленнику необходимо сделать ряд вещей, в том числе заставить жертву сначала загрузить и установить вредоносный стейджер, способный выполнять команды, и загружать выходные данные команды через URL-адреса GIF в веб-перехватчики Microsoft Teams.

Стейджер будет сканировать журналы Microsoft Teams, где якобы все полученные сообщения сохраняются и доступны для чтения всем группам пользователей Windows, независимо от их уровня привилегий.

После настройки стейджера злоумышленнику потребуется создать нового клиента Teams и связаться с другими участниками Teams за пределами организации. Это, по словам исследователя, не так уж и сложно, учитывая, что Microsoft по умолчанию разрешает внешнее общение. Затем, используя написанный исследователем скрипт Python под названием GIFShell, злоумышленник может отправить вредоносный файл .GIF, способный выполнять команды на целевой конечной точке.

И сообщение, и файл .GIF окажутся в папке журналов под контролем стейджера. Затем этот инструмент извлечет команды из .GIF и запустит их на устройстве. Затем GIFShell PoC может использовать выходные данные и преобразовать их в текст base64, а затем использовать его в качестве имени файла для удаленного .GIF, встроенного в карточку опроса Microsoft Teams. Затем посредник отправляет эту карту в общедоступный веб-хук Microsoft Teams злоумышленника. Затем серверы Microsoft снова подключатся к URL-адресу сервера злоумышленника, чтобы получить .GIF. Затем GIFShell получит запрос и декодирует имя файла, предоставляя субъекту угрозы четкую видимость вывода команды, запущенной на целевой конечной точке.

Исследователь также добавил, что ничто не мешает злоумышленникам рассылать столько GIF-файлов, сколько им нужно, каждый с разными вредоносными командами. Более того, учитывая, что трафик, по-видимому, поступает с собственных серверов Microsoft, инструменты кибербезопасности будут считать его легитимным, а не помечать.

Получив уведомление о результатах, в Microsoft заявили, что не будут их решать, поскольку они не обязательно нарушают границы безопасности.

Из сообщения Microsoft:

«Исследования связано пост-эксплуатацией и целью, которая уже скомпрометирована. Похоже, что ни одна граница безопасности не была обойдена. Команда разработчиков рассмотрит проблему на предмет возможных будущих изменений дизайна, но она не будет отслеживаться группой безопасности».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме