Las organizaciones y los equipos de seguridad trabajan para protegerse de cualquier vulnerabilidad y, a menudo, no se dan cuenta de que el riesgo también lo generan las configuraciones en sus aplicaciones SaaS que no se han fortalecido. El método de ataque GIFShell recientemente publicado, que ocurre a través de Microsoft Teams, es un ejemplo perfecto de cómo los actores de amenazas pueden explotar funciones y configuraciones legítimas que no se han configurado correctamente. Este artículo echa un vistazo a lo que implica el método y los pasos necesarios para combatirlo.
El método de ataque GifShell
Descubierto por Bobby Rauch, la técnica de ataque GIFShell permite a los malhechores explotar varias características de Microsoft Teams para actuar como C&C para el malware y filtrar datos usando GIF sin ser detectados por EDR y otras herramientas de monitoreo de red. Este método de ataque requiere un dispositivo o usuario que ya esté comprometido.
El componente principal de este ataque permite a un atacante crear un shell inverso que entrega comandos maliciosos a través de GIF codificados en base64 en Teams y extrae la salida a través de GIF recuperados por la propia infraestructura de Microsoft.
¿Como funciona?
- Para crear este caparazón inverso, un atacante primero debe comprometer una computadora para plantar el malware, lo que significa que el mal actor debe convencer al usuario de que instale un manipulador maliciosocomo con el phishing, que ejecuta comandos y carga la salida del comando a través de una URL de GIF a un enlace web de Microsoft Teams.
- Una vez que el escenario está en su lugar, el actor de amenazas crea su propio inquilino de Microsoft Teams y se comunica con otros usuarios de Microsoft Teams fuera de la organización.
- El actor de la amenaza puede entonces usar un secuencia de comandos de Python GIFShell para enviar un mensaje a un usuario de Microsoft Teams que contiene un GIF especialmente diseñado. Esta imagen GIF legítima se ha modificado para incluir comandos para ejecutar en la máquina de un objetivo.
- Cuando el objetivo recibe el mensaje, el mensaje y el GIF se almacenarán en los registros de Microsoft Team. Importante tener en cuenta: Microsoft Teams se ejecuta como un proceso en segundo plano, por lo que el usuario ni siquiera necesita abrir el GIF para recibir los comandos del atacante para ejecutar.
- El stager monitorea los registros de Teams y cuando encuentra un GIF, extrae y ejecuta los comandos.
- Los servidores de Microsoft se volverán a conectar a la URL del servidor del atacante para recuperar el GIF, que se nombra utilizando la salida codificada en base64 del comando ejecutado.
- El servidor GIFShell que se ejecuta en el servidor del atacante recibirá esta solicitud y decodificará automáticamente los datos, lo que permitirá a los atacantes ver el resultado del comando ejecutado en el dispositivo de la víctima.
la respuesta de microsoft
Como reportado por Lawrence Abrams en BleepingComputer, Microsoft está de acuerdo en que este método de ataque es un problema, sin embargo, «no cumple con los requisitos para una solución de seguridad urgente». Ellos «pueden tomar medidas en una versión futura para ayudar a mitigar esta técnica». Microsoft reconoce esta investigación pero afirma que no se han pasado por alto los límites de seguridad.
Si bien Rauch afirma que, de hecho, «se descubrieron dos vulnerabilidades adicionales en Microsoft Teams, la falta de aplicación de permisos y la falsificación de archivos adjuntos», Microsoft argumenta: «Para este caso… todos estos son posteriores a la explotación y dependen de un objetivo que ya está comprometido». Microsoft afirma que esta técnica utiliza funciones legítimas de la plataforma Teams y no es algo que puedan mitigar actualmente.
De acuerdo con las afirmaciones de Microsoft, de hecho, este es el desafío que enfrentan muchas organizaciones: hay configuraciones y características que los actores de amenazas pueden explotar si no se fortalecen. Algunos cambios en las configuraciones de su inquilino pueden evitar estos ataques entrantes de inquilinos de Teams desconocidos.
Cómo protegerse contra el ataque GIFShell
Hay configuraciones de seguridad dentro de Microsoft que, si se fortalecen, pueden ayudar a prevenir este tipo de ataque.
1 — Deshabilitar el acceso externo: Microsoft Teams, de forma predeterminada, permite que todos los remitentes externos envíen mensajes a los usuarios dentro de ese inquilino. Es probable que muchos administradores de la organización ni siquiera sepan que su organización permite la colaboración de equipos externos. Puede endurecer estas configuraciones:
 |
| Figura 1: Configuraciones de acceso externo de Microsoft Teams |
- Deshabilite el acceso a dominios externos: impida que las personas de su organización busquen, llamen, chateen y organicen reuniones con personas externas a su organización en cualquier dominio. Si bien no es un proceso tan fluido como a través de Teams, esto protege mejor a la organización y vale la pena el esfuerzo adicional.
- Deshabilite la conversación de inicio de equipos externos no administrados: impida que los usuarios de Teams de su organización se comuniquen con usuarios de Teams externos cuyas cuentas no estén administradas por una organización.
2 — Obtener información sobre el inventario de dispositivos: Puede asegurarse de que todos los dispositivos de su organización sean totalmente compatibles y seguros mediante el uso de su solución XDR/EDR/Gestión de vulnerabilidades, como Crowdstrike o Tenable. Las herramientas de seguridad de punto final son su primera línea de defensa contra actividades sospechosas, como acceder a la carpeta de registro de equipos locales del dispositivo que se utiliza para la filtración de datos en GIFShell.
Incluso puede ir un paso más allá e integrar una solución SSPM (SaaS Security Posture Management), como Adaptive Shield, con sus herramientas de seguridad de punto final para obtener visibilidad y contexto para ver y administrar fácilmente los riesgos que se derivan de este tipo de configuraciones, su SaaS usuarios y sus dispositivos asociados.
Cómo automatizar la protección contra estos ataques
Hay dos métodos para combatir las configuraciones incorrectas y fortalecer las configuraciones de seguridad: detección y reparación manual o una solución SaaS Security Posture Management (SSPM) automatizada. Con la multitud de configuraciones, usuarios, dispositivos y nuevas amenazas, el método manual es una pérdida de recursos insostenible que deja a los equipos de seguridad abrumados. Sin embargo, una solución SSPM, como Escudo adaptativo, permite a los equipos de seguridad obtener un control total sobre sus aplicaciones y configuraciones SaaS. El SSPM correcto automatiza y agiliza el proceso de monitoreo, detección y corrección de errores de configuración de SaaS, acceso de SaaS a SaaS, IAM relacionado con SaaS y riesgo de usuario de dispositivo a SaaS de conformidad con los estándares de la industria y de la empresa.
En casos como el método de ataque GifShell, las funciones de gestión de configuración incorrecta de Adaptive Shield permiten a los equipos de seguridad evaluar, monitorear, identificar y alertar continuamente cuando hay una configuración incorrecta (consulte la figura 1). Luego, pueden remediar rápidamente a través del sistema o usar un sistema de emisión de boletos de su elección para enviar los detalles pertinentes para una remediación rápida.
 |
| Figura 2. Vista horizontal de la higiene de la aplicación SaaS |
De manera similar, la función Inventario de dispositivos de Adaptive Shield (que se ve en la figura 2) puede monitorear los dispositivos que se usan en toda la empresa y señalar cualquier riesgo de Dispositivo a SaaS mientras correlaciona esa información con los roles y permisos de los usuarios y las aplicaciones SaaS en uso. Esto permite que los equipos de seguridad obtengan una visión holística de la postura del usuario y el dispositivo para proteger y asegurar los dispositivos de alto riesgo que pueden representar una amenaza crítica en su entorno SaaS.
 |
| Figura 3. Inventario de dispositivos |