MicrosoftTeams用户目前能够共享GIF文件,以便更准确地向同事描述他们的情绪-但是专家警告说,网络犯罪分子也可以使用它们来执行恶意命令并窃取敏感数据,而不会被防病毒软件发现(在新标签中打开)工具。
网络安全顾问兼渗透测试员BobbyRauch在视频会议平台中发现了几个漏洞,当这些漏洞链接在一起时,可能导致数据泄露和恶意代码执行。
这也是一项艰巨的任务,因为攻击者需要做很多事情,包括让受害者首先下载并安装一个能够执行命令的恶意stager,并通过GIFurl将命令输出上传到MicrosoftTeams网络挂钩。stager将扫描MicrosoftTeams(在新标签中打开)据称,所有收到的消息都被所有Windows用户组保存和读取,无论其权限级别如何。
设置stager后,攻击者需要创建一个新的Teams租户,并与组织外的其他Teams成员联系。研究人员说,这并不具有挑战性,因为微软默认允许外部通信。然后,通过使用研究人员的名为GIFShell的Python脚本,攻击者可以发送能够在目标端点上执行命令的恶意.GIF文件。
消息和.GIF文件都将最终在日志文件夹中,在stager的监视下。然后,此工具将从.GIF中提取命令并在设备上运行它们。然后,GIFShellPoC可以使用输出并将其转换为base64文本,并将其用作远程.GIF的文件名,嵌入到MicrosoftTeams调查卡中。然后,stager将该卡提交给攻击者的公共MicrosoftTeams网络挂钩。然后,Microsoft的服务器将连接回攻击者的服务器URL以检索.GIF。然后,GIFShell将接收请求并解码文件名,让威胁参与者清楚地看到在目标端点上运行的命令的输出(在新标签中打开).
>MicrosoftTeams正在进行底层升级以提高性能>MicrosoftTeams正在获得一项基本但强大的新安全功能>这些是目前最好的防火墙
研究人员还补充说,没有什么能阻止攻击者发送任意数量的GIF,每个GIF都有不同的恶意命令。更重要的是,鉴于流量似乎来自微软自己的服务器,网络安全工具将认为它是合法的,而不是被标记。
当得知调查结果时,微软表示不会解决这些问题,因为它们不一定会绕过安全边界。
“对于这个案例,72412,虽然这是一项伟大的研究,工程团队将随着时间的推移努力改进这些领域,但这些都是后期利用,并且依赖于已经受到攻击的目标,”微软显然告诉Rauch。
“似乎没有绕过安全边界。产品团队将审查该问题以了解未来可能的设计更改,但安全团队不会对此进行跟踪。”
标签:
免责声明:本文由用户上传,如有侵权请联系删除!