Un consulente di sicurezza informatica e pentester, Bobby Rauch recentemente ha scoperto che gli attori delle minacce stanno abusando di Microsoft Teams eseguendo attacchi di phishing utilizzando una nuova tecnica di attacco nota come GIFshell. Usare le GIF per eseguire comandi segreti allo scopo di rubare dati.
Con l’uso di questo nuovo metodo, gli aggressori possono creare attacchi complessi che sfruttano una varietà di punti deboli in Microsoft Teams. Gli attori della minaccia lo fanno per abusare della legittima infrastruttura Microsoft e successivamente eseguire alcune tra le seguenti azioni:
- File malevoli
- Comandi illeciti
- Estrazione di dati tramite GIF
I dati vengono esflitrati attraverso server controllati da Microsoft stessa. Il mootivo di qeusta tecnica di attacco è molto semplice è quello di assicurarsi che il software di sicurezza presente sull’endpoit non sia in grado di rilevare questo traffico.
GIFShell
Per un impostazione di sicurezza, nessun utente esterno è autorizzato a condividere qualsiasi file con gli utenti dell’azienda per impostazione predefinita. Lo scopo di questa funzione è impedire agli utenti esterni di inviare allegati dannosi tramite Microsoft Teams a un utente di un’altra organizzazione.
Per cui non c’è alcuna opzione “graffetta” disponibile per caricare un allegato quando un utente in un’organizzazione cerca di inviare qualsiasi file ad un altro utente che faccia parte di un’altra organizzazione.
Questo attacco è basato su un componente chiamato GIFShell, che è una delle parti più importanti. Per far funzionare GIFShell, un eseguibile maligno noto come “Stager” inganna il sistema finale facendosi passare come oggetto sicuro ed essere quini eseguito dall’utente. I seguenti registri di Microsoft Teams verranno sottoposti a scansione continua da questo eseguibile:
$HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb.leveldb\*.log.
Dopo l’installazione dello Stager, un attore della minaccia crea un tenant Microsoft Teams per lanciare l’attacco. Dopodiché, verranno contattati gli utenti esterni all’organizzazione che utilizzano Microsoft Teams.
Microsoft Teams per impostazione predefinita consente la comunicazione esterna, quindi gli aggressori possono facilmente usufruire di questa funzione per accedere al vostri team.
Lo Stager può estrarre i comandi codificati in base64 da un messaggio con una GIF ed eseguirli su un dispositivo quando rileva tale messaggio. Dopodiché, l’output del comando eseguito verrà convertito in testo base64 dal PoC di GIFShell.
Una conseguenza di questo attacco è che il traffico di rete legittimo di Microsoft Teams viene mescolato con l’output dell’attacco GIFShell che gli consente di esfiltrare segretamente i dati.
In risposta ai ricercatori, Microsoft ha concesso la ricerca, ma ha sottolineato che nessun sistema di sicurezza sia stato violato, quindi al momento non rilascerà nessuna patch di sicurezza.
Prerequisiti per l’attacco
Qui di seguito abbiamo menzionato tutti i prerequisiti per recitare l’attacco:
- Sul sistema dell’attaccante deve essere eseguito lo script Python di GIFShell.
- Sul sistema della vittima, è necessario eseguire il GIFShell Powershell Stager.
- Sono necessarie due organizzazioni o Tenant Microsoft Azure.
- Almeno due utenti dovrebbero essere presenti nell’organizzazione e almeno un utente dovrebbe essere presente nell’organizzazione della vittima. Lo scopo di questo passaggio è quello di testare l’edizione di lavoro di Microsoft Teams.
- Necessari due utenti Microsoft Teams per uso personale. In questo caso, Microsoft Teams Home Edition viene utilizzato solo per scopi di test.
- Un Webhook disponibile su un canale Teams e accessibile a chiunque.
- È possibile scegliere qualsiasi GIF a piacere.
- Un indirizzo IP aperto al pubblico che può essere utilizzato in ascolto per le richieste in arrivo dal web.
Contromisure
Qui sotto abbiamo menzionato tutte le attenuazioni raccomandate:-
- Formazione costante e continua agli utenti sui pericoli derivanti dal fare clic su allegati da fonti sconosciute.
- Microsoft Defender for Office 365 fornisce una politica Safe Attachments che può aiutare a prevenire gli attacchi di download di Drive-By su Office 365.
- NTLM dovrebbe essere disabilitato completamente o la firma SMB dovrebbe essere abilitata.
- Al fine di evitare gli attacchi NTLM, è necessario assicurarsi di avere in atto una politica di password complessa.
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!