Microsoft Teams kullanıcıları şu anda duygularını meslektaşlarına daha doğru bir şekilde açıklamak için GIF dosyalarını paylaşabiliyorlar – ancak uzmanlar, siber suçluların bunları kötü amaçlı komutları yürütmek ve antivirüs tarafından fark edilmeden hassas verileri çalmak için kullanabileceği konusunda uyardı. (yeni sekmede açılır) aletler.
Siber güvenlik danışmanı ve pentester Bobby Rauch, video konferans platformunda, birlikte zincirlendiğinde veri hırsızlığına ve kötü niyetli kod yürütülmesine neden olabilecek birkaç güvenlik açığı keşfetti.
Saldırganın, kurbanın komutları yürütebilen kötü niyetli bir hazırlayıcıyı indirip kurmasını sağlamak ve GIF url’leri aracılığıyla Microsoft Teams web kancalarına komut çıktısı yüklemek de dahil olmak üzere bir dizi şey yapması gerektiğinden, bu da oldukça çaba gerektirir. Sahne cihazı Microsoft Teams’i tarayacak (yeni sekmede açılır) iddiaya göre alınan tüm mesajların kaydedildiği ve ayrıcalık seviyelerine bakılmaksızın tüm Windows kullanıcı grupları tarafından okunabildiği günlükler.
Sahneleyiciyi kullanma
Aşamalayıcıyı kurduktan sonra, saldırganın yeni bir Teams kiracısı oluşturması ve kuruluş dışındaki diğer Teams üyelerine ulaşması gerekir. Araştırmacı, Microsoft’un varsayılan olarak harici iletişime izin verdiği göz önüne alındığında, bunun o kadar da zor olmadığını söylüyor. Ardından, araştırmacının GIFShell adlı Python betiğini kullanarak saldırgan, hedef uç noktada komutları yürütebilen kötü amaçlı bir .GIF dosyası gönderebilir.
Hem mesaj hem de .GIF dosyası, sahneleyicinin gözetimi altındaki günlükler klasöründe sona erecektir. Bu araç daha sonra komutları .GIF dosyasından çıkaracak ve bunları cihazda çalıştıracaktır. GIFShell PoC daha sonra çıktıyı kullanabilir ve onu base64 metnine dönüştürebilir ve bunu bir Microsoft Teams Anket Kartına gömülü bir uzak .GIF için dosya adı olarak kullanabilir. Sahneleyici daha sonra bu kartı saldırganın genel Microsoft Teams web kancasına gönderir. Ardından, Microsoft’un sunucuları, .GIF’yi almak için saldırganın sunucu URL’sine geri bağlanacaktır. GIFShell daha sonra isteği alacak ve dosya adının kodunu çözerek tehdit aktörüne hedef uç noktada çalıştırılan komutun çıktısını net bir şekilde görünür hale getirecektir. (yeni sekmede açılır).
Araştırmacı ayrıca, saldırganların her biri farklı kötü amaçlı komutlara sahip istedikleri kadar GIF göndermelerini engelleyen hiçbir şey olmadığını da ekledi. Dahası, trafiğin görünüşte Microsoft’un kendi sunucularından geldiği göz önüne alındığında, siber güvenlik araçları tarafından meşru kabul edilecek ve işaretlenmeyecektir.
Bulgulardan haberdar edildiğinde Microsoft, güvenlik sınırlarını aşmaları gerekmediği için bunları ele almayacağını söyledi.
Microsoft, görünüşe göre Rauch’a, “72412, bu harika bir araştırma olsa da ve mühendislik ekibi bu alanları zaman içinde iyileştirmeye çalışacak olsa da, bunların hepsi kullanım sonrası ve zaten tehlikeye atılmış bir hedefe dayanıyor.”
“Hiçbir güvenlik sınırı atlanmış gibi görünmüyor. Ürün ekibi, gelecekteki olası tasarım değişiklikleri için sorunu gözden geçirecek, ancak bu, güvenlik ekibi tarafından izlenmeyecek.”
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
