È stata rilevata una nuova tecnica di attacco, denominata GIFShell, che consente a un utente malintenzionato di prendere di mira Microsoft Teams, uno degli strumenti più importanti utilizzato in tutto il mondo da diverse aziende e organizzazioni per consentire le comunicazioni tra individui e gruppi che lavorano insieme per un obiettivo comune.
Gli aggressori possono utilizzare questa tecnica negli attacchi di phishing ed eseguire comandi utilizzando le immagini GIF.
Indice degli argomenti
Come funziona l’attacco GIFShell
Il nuovo attacco è stato scoperto da un ricercatore di sicurezza, Bobby Rauch, che ha individuato alcune vulnerabilità in Microsoft Teams e le ha concatenate per simulare differenti scenari di attacco, tra cui esfiltrazione di dati, esecuzione di comandi, bypass della sicurezza e phishing.
Il componente principale di un attacco è GIFShell, che permette la creazione di una shell inversa. Ciò fornisce comandi dannosi utilizzando GIF con codifica Base64 in Teams e ruba l’output tramite GIF dai server di Microsoft.
Poiché l’esfiltrazione dei dati viene eseguita sfruttando i server di Microsoft, è difficile identificare il traffico e differenziarlo dal traffico legittimo del software.
Attacco tramite shell inversa
Per creare la shell inversa, l’attaccante deve convincere un utente a installare uno stager dannoso che esegue comandi e carica l’output dei comandi tramite l’URL di una GIF in un webhook di Microsoft Teams.
Quindi, l’attaccante inganna l’utente preso di mira facendogli caricare uno stager eseguibile di malware sui propri sistemi che analizzerà regolarmente i registri di Microsoft Teams in una posizione specifica. Tutti i messaggi ricevuti su Teams vengono archiviati in questi registri e sono leggibili da tutti i gruppi di utenti di Windows, quindi accessibili da file dannosi o malware nel sistema.
Una volta posizionato lo stager, l’attaccante crea il proprio tenant di Teams e contatta altri utenti della piattaforma al di fuori dell’organizzazione, poiché la comunicazione esterna risulta abilitata per impostazione predefinita in Teams.
Esecuzione di codice dannoso
In questo caso, per avviare un attacco l’attaccante utilizza l’apposito script GIFShell Python per inviare un messaggio a un utente dell’organizzazione con una GIF appositamente predisposta.
Questa immagine GIF è un file immagine legittimo, modificato per includere i comandi particolari da eseguire sul sistema di destinazione.
Questo messaggio all’interno della GIF viene archiviato nei file di registro dell’organizzazione e viene scansionato dal monitor stager dannoso, che esegue i comandi sul dispositivo.
L’attacco GIFShell prende l’output dei comandi eseguiti e lo converte in testo Base64. Lo stager sfrutta questo testo per creare un file GIF e lo conserva come scheda sondaggio Microsoft Teams. L’autore dell’attacco crea una richiesta URL per una GIF, che ha lo stesso nome del file GIF creato dallo stager.
Dopo aver ricevuto questa richiesta, Microsoft tenta di recuperare il file GIF e alla fine consegna proprio quella (creata dallo stager) contenente le informazioni riservate.
Come difendersi dall’attacco GIFShell
L’attacco GIFShell è stato dimostrato con successo dal ricercatore, mostrando proprio un possibile scenario di sfruttamento. Dopo essere stata contattata dal ricercatore, Microsoft ha affermato di aver lasciato una porta aperta per risolvere questi problemi, seppur non con carattere di urgenza e ha anticipato che queste vulnerabilità potrebbero essere risolte nelle versioni future della piattaforma.
Nel frattempo, però, il problema esiste e potrebbe essere sfruttato, quindi il consiglio è sempre quello di fare grande attenzione al phishing, come dice Microsoft stessa nella sua risposta ufficiale a Bleeping Computer: “è importante tenere presente questo tipo di phishing e, come sempre, consigliamo agli utenti di praticare buone abitudini informatiche online, compresa la cautela quando si fa clic su collegamenti a pagine Web, si aprono file sconosciuti o si accettano trasferimenti di file”.
Come abbiamo visto, anche una semplice immagine GIF, se non trattata adeguatamente, può portare con sé dei pericoli: è bene, dunque, evitare di importare in Teams immagini GIF sconosciute o provenienti da fonti non attendibili e non attese.
