使用MicrosoftTeamsGIF真的是个糟糕的主意

MicrosoftTeams用户目前能够共享GIF文件，以便更准确地向同事描述他们的情绪-但是专家警告说，网络犯罪分子也可以使用它们来执行恶意命令并窃取敏感数据，而不会被防病毒软件发现(在新标签中打开)工具。

网络安全顾问兼渗透测试员BobbyRauch在视频会议平台中发现了几个漏洞，当这些漏洞链接在一起时，可能导致数据泄露和恶意代码执行。

这也是一项艰巨的任务，因为攻击者需要做很多事情，包括让受害者首先下载并安装一个能够执行命令的恶意stager，并通过GIFurl将命令输出上传到MicrosoftTeams网络挂钩。stager将扫描MicrosoftTeams(在新标签中打开)据称，所有收到的消息都被所有Windows用户组保存和读取，无论其权限级别如何。

设置stager后，攻击者需要创建一个新的Teams租户，并与组织外的其他Teams成员联系。研究人员说，这并不具有挑战性，因为微软默认允许外部通信。然后，通过使用研究人员的名为GIFShell的Python脚本，攻击者可以发送能够在目标端点上执行命令的恶意.GIF文件。

消息和.GIF文件都将最终在日志文件夹中，在stager的监视下。然后，此工具将从.GIF中提取命令并在设备上运行它们。然后，GIFShellPoC可以使用输出并将其转换为base64文本，并将其用作远程.GIF的文件名，嵌入到MicrosoftTeams调查卡中。然后，stager将该卡提交给攻击者的公共MicrosoftTeams网络挂钩。然后，Microsoft的服务器将连接回攻击者的服务器URL以检索.GIF。然后，GIFShell将接收请求并解码文件名，让威胁参与者清楚地看到在目标端点上运行的命令的输出(在新标签中打开).

>MicrosoftTeams正在进行底层升级以提高性能>MicrosoftTeams正在获得一项基本但强大的新安全功能>这些是目前最好的防火墙

研究人员还补充说，没有什么能阻止攻击者发送任意数量的GIF，每个GIF都有不同的恶意命令。更重要的是，鉴于流量似乎来自微软自己的服务器，网络安全工具将认为它是合法的，而不是被标记。

当得知调查结果时，微软表示不会解决这些问题，因为它们不一定会绕过安全边界。

“对于这个案例，72412，虽然这是一项伟大的研究，工程团队将随着时间的推移努力改进这些领域，但这些都是后期利用，并且依赖于已经受到攻击的目标，”微软显然告诉Rauch。

“似乎没有绕过安全边界。产品团队将审查该问题以了解未来可能的设计更改，但安全团队不会对此进行跟踪。”

标签：

版权声明：本文由用户上传，如有侵权请联系删除！