Kuruluşlar ve güvenlik ekipleri, kendilerini herhangi bir güvenlik açığından korumak için çalışırlar ve çoğu zaman, SaaS uygulamalarındaki sağlamlaştırılmamış yapılandırmaların da risk oluşturduğunun farkında olmazlar. Microsoft Teams aracılığıyla gerçekleştirilen yeni yayınlanan GIFShell saldırı yöntemi, tehdit aktörlerinin doğru şekilde ayarlanmamış meşru özelliklerden ve yapılandırmalardan nasıl yararlanabileceğinin mükemmel bir örneğidir. Bu makale, yöntemin neleri içerdiğine ve bununla mücadele etmek için gereken adımlara bir göz atmaktadır.
GifShell Saldırı Yöntemi
Bobby Rauch tarafından keşfedildi, GIFShell saldırı tekniği, kötü niyetli kişilerin kötü amaçlı yazılımlar için C&C olarak hareket etmek için çeşitli Microsoft Teams özelliklerinden yararlanmasına ve EDR ve diğer ağ izleme araçları tarafından algılanmadan GIF’leri kullanarak verileri sızdırmasına olanak tanır. Bu saldırı yöntemi, zaten güvenliği ihlal edilmiş bir cihaz veya kullanıcı gerektirir.
Bu saldırının ana bileşeni, bir saldırganın Teams’deki base64 kodlu GIF’ler aracılığıyla kötü amaçlı komutlar veren ve Microsoft’un kendi altyapısı tarafından alınan GIF’ler aracılığıyla çıktıyı sızdıran bir ters kabuk oluşturmasına olanak tanır.
O nasıl çalışır?
- Bu ters kabuğu oluşturmak için, bir saldırganın önce kötü amaçlı yazılımı yerleştirmek için bir bilgisayarın güvenliğini aşması gerekir; bu, kötü aktörün kullanıcıyı bir kötü amaçlı yazılım yüklemeye ikna etmesi gerektiği anlamına gelir. kötü niyetli sahneleyicikomutları yürüten ve komut çıktısını bir GIF url’si aracılığıyla bir Microsoft Teams web kancasına yükleyen kimlik avında olduğu gibi.
- Sahneleyici yerleştirildikten sonra, tehdit aktörü kendi Microsoft Teams kiracısını oluşturur ve kuruluş dışındaki diğer Microsoft Teams kullanıcılarıyla iletişim kurar.
- Tehdit aktörü daha sonra bir GIFShell Python komut dosyası Microsoft Teams kullanıcısına özel hazırlanmış bir GIF içeren bir ileti göndermek için. Bu meşru GIF görüntüsü, bir hedefin makinesinde yürütülecek komutları içerecek şekilde değiştirildi.
- Hedef mesajı aldığında, mesaj ve GIF, Microsoft Team’in günlüklerinde saklanacaktır. Unutulmaması gereken önemli: Microsoft Teams, bir arka plan işlemi olarak çalışır, bu nedenle, saldırganın yürütme komutlarını almak için GIF’in kullanıcı tarafından açılmasına bile gerek yoktur.
- Stager, Teams günlüklerini izler ve bir GIF bulduğunda komutları çıkarır ve çalıştırır.
- Microsoft sunucuları, yürütülen komutun base64 kodlu çıktısı kullanılarak adlandırılan GIF’i almak için saldırganın sunucu URL’sine geri bağlanacaktır.
- Saldırganın sunucusunda çalışan GIFShell sunucusu bu isteği alacak ve saldırganların kurbanın cihazında çalıştırılan komutun çıktısını görmesine olanak tanıyan verilerin kodunu otomatik olarak çözecektir.
Microsoft’un yanıtı
Olarak rapor edildi Lawrence Abrams tarafından BleepingComputer’da, Microsoft bu saldırı yönteminin bir sorun olduğunu kabul ediyor, ancak “acil bir güvenlik düzeltmesi için çıtayı karşılamıyor.” “Bu tekniğin hafifletilmesine yardımcı olmak için gelecekteki bir sürümde harekete geçebilirler.” Microsoft bu araştırmayı kabul ediyor, ancak hiçbir güvenlik sınırının atlanmadığını iddia ediyor.
Rauch, gerçekten de “Microsoft Teams’de keşfedilen iki ek güvenlik açığı, izin uygulama eksikliği ve ek sahtekarlığı” olduğunu iddia ederken, Microsoft, “Bu durumda… bunların tümü, istismar sonrası ve zaten ele geçirilmiş bir hedefe dayanıyor.” Microsoft, bu tekniğin şu anda azaltabilecekleri bir şey değil, Teams platformundaki meşru özellikleri kullandığını iddia ediyor.
Microsoft’un iddialarına göre, aslında birçok kuruluşun karşılaştığı zorluk budur – sertleştirilmedikleri takdirde tehdit aktörlerinin yararlanabileceği yapılandırmalar ve özellikler vardır. Kiracınızın yapılandırmalarında yapılacak birkaç değişiklik, bilinmeyen Teams kiracılarından gelen bu gelen saldırıları önleyebilir.
GIFShell Saldırısına Karşı Nasıl Korunulur
Microsoft içinde, sağlamlaştırılırsa bu tür saldırıları önlemeye yardımcı olabilecek güvenlik yapılandırmaları vardır.
1 — Harici Erişimi Devre Dışı Bırak: Microsoft Teams, varsayılan olarak, tüm harici göndericilerin bu kiracı içindeki kullanıcılara ileti göndermesine izin verir. Birçok kuruluş yöneticisi, kuruluşlarının Harici Ekipler işbirliğine izin verdiğinin farkında bile değildir. Bu yapılandırmaları sağlamlaştırabilirsiniz:
 |
| Şekil 1: Microsoft Teams Harici Erişim Yapılandırmaları |
- Harici etki alanı erişimini devre dışı bırakın – Kuruluşunuzdaki kişilerin herhangi bir etki alanında kuruluşunuz dışındaki kişileri bulmasını, aramasını, sohbet etmesini ve toplantı ayarlamasını önleyin. Teams’deki kadar sorunsuz bir süreç olmasa da, bu, organizasyonu daha iyi korur ve ekstra çabaya değer.
- Yönetilmeyen harici ekiplerin görüşme başlatmasını devre dışı bırakın – Kuruluşunuzdaki Teams kullanıcılarının, hesapları bir kuruluş tarafından yönetilmeyen harici Teams kullanıcılarıyla iletişim kurmasını engelleyin.
2 — Cihaz Envanteri İçgörüsü Kazanın: Crowdstrike veya Tenable gibi XDR / EDR / Vulnerability Management çözümünüzü kullanarak tüm kuruluşunuzun cihazlarının tamamen uyumlu ve güvenli olmasını sağlayabilirsiniz. Uç nokta güvenlik araçları, cihazın GIFShell’de veri hırsızlığı için kullanılan yerel ekipler günlük klasörüne erişim gibi şüpheli etkinliklere karşı ilk savunma hattınızdır.
Hatta bir adım daha ileri gidebilir ve Uyarlamalı Kalkan gibi bir SSPM (SaaS Güvenlik Duruş Yönetimi) çözümünü uç nokta güvenlik araçlarınızla entegre ederek görünürlük ve bağlam kazanarak bu tür yapılandırmalardan, SaaS’nizden kaynaklanan riskleri kolayca görebilir ve yönetebilirsiniz. kullanıcılar ve bunlarla ilişkili cihazlar.
Bu Saldırılara Karşı Koruma Nasıl Otomatikleştirilir
Yanlış yapılandırmalarla mücadele etmek ve güvenlik ayarlarını güçlendirmek için iki yöntem vardır: manuel algılama ve düzeltme veya otomatik bir SaaS Güvenlik Duruş Yönetimi (SSPM) çözümü. Çok sayıda yapılandırma, kullanıcı, cihaz ve yeni tehdit ile manuel yöntem, kaynakları sürdürülemez bir şekilde tüketir ve güvenlik ekiplerini bunaltır. Ancak, bir SSPM çözümü, örneğin Uyarlanabilir Kalkan, güvenlik ekiplerinin SaaS uygulamaları ve yapılandırmaları üzerinde tam kontrol sahibi olmalarını sağlar. Doğru SSPM, SaaS yanlış yapılandırmaları, SaaS’den SaaS’a erişim, SaaS ile ilgili IAM ve Cihazdan SaaS kullanıcı riskine yönelik izleme, algılama ve düzeltme sürecini hem endüstri hem de şirket standartlarına uygun olarak otomatikleştirir ve kolaylaştırır.
GifShell saldırı yöntemi gibi durumlarda, Uyarlamalı Kalkan’ın yanlış yapılandırma yönetimi özellikleri, güvenlik ekiplerinin bir yanlış yapılandırma olduğunda sürekli olarak değerlendirme yapmasına, izlemesine, tanımlamasına ve uyarmasına olanak tanır (bkz. şekil 1). Ardından, sistem aracılığıyla hızlı bir şekilde düzeltme yapabilir veya hızlı düzeltme için ilgili ayrıntıları göndermek üzere tercih edilen bir biletleme sistemini kullanabilirler.
 |
| Şekil 2. SaaS Uygulama Hijyeninin Peyzaj Görünümü |
Benzer şekilde, Uyarlamalı Kalkan’ın Cihaz Envanteri özelliği (şekil 2’de görülmektedir) şirket genelinde kullanılan cihazları izleyebilir ve bu bilgileri kullanıcı rolleri ve izinleri ve kullanımda olan SaaS uygulamaları ile ilişkilendirerek Cihazdan SaaS’ye herhangi bir riski işaretleyebilir. Bu, güvenlik ekiplerinin, kendi SaaS ortamlarında kritik bir tehdit olarak hizmet edebilecek yüksek riskli cihazları korumak ve güvenceye almak için kullanıcı-cihaz duruşuna ilişkin bütünsel bir görüş elde etmelerini sağlar.
 |
| Şekil 3. Cihaz Envanteri |