{"id":382052,"date":"2022-09-19T17:02:27","date_gmt":"2022-09-19T17:02:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/ataque-gifshell-de-microsoft-teams-que-es-y-como-puede-protegerse-de-el\/"},"modified":"2022-09-19T17:02:28","modified_gmt":"2022-09-19T17:02:28","slug":"ataque-gifshell-de-microsoft-teams-que-es-y-como-puede-protegerse-de-el","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ataque-gifshell-de-microsoft-teams-que-es-y-como-puede-protegerse-de-el\/","title":{"rendered":"Ataque GIFShell de Microsoft Teams: qu\u00e9 es y c\u00f3mo puede protegerse de \u00e9l"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Las organizaciones y los equipos de seguridad trabajan para protegerse de cualquier vulnerabilidad y, a menudo, no se dan cuenta de que el riesgo tambi\u00e9n lo generan las configuraciones en sus aplicaciones SaaS que no se han fortalecido.  El m\u00e9todo de ataque GIFShell recientemente publicado, que ocurre a trav\u00e9s de Microsoft Teams, es un ejemplo perfecto de c\u00f3mo los actores de amenazas pueden explotar funciones y configuraciones leg\u00edtimas que no se han configurado correctamente.  Este art\u00edculo echa un vistazo a lo que implica el m\u00e9todo y los pasos necesarios para combatirlo. <\/p>\n<h2>El m\u00e9todo de ataque GifShell<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@bobbyrsec\/microsoft-teams-attachment-spoofing-and-lack-of-permissions-enforcement-leads-to-rce-via-ntlm-458aea1826c5\" target=\"_blank\">Descubierto por Bobby Rauch<\/a>, la t\u00e9cnica de ataque GIFShell permite a los malhechores explotar varias caracter\u00edsticas de Microsoft Teams para actuar como C&amp;C para el malware y filtrar datos usando GIF sin ser detectados por EDR y otras herramientas de monitoreo de red.  Este m\u00e9todo de ataque requiere un dispositivo o usuario que ya est\u00e9 comprometido. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/lp-get-a-demo?utm_source=TheHackerNews&amp;utm_medium=content_syndication&amp;utm_campaign=THN_GifShell1\" target=\"_blank\">Aprenda c\u00f3mo un SSPM puede evaluar, monitorear y remediar las configuraciones incorrectas de SaaS y el riesgo de usuario de Dispositivo a SaaS<\/a>.<\/p>\n<p>El componente principal de este ataque permite a un atacante crear un shell inverso que entrega comandos maliciosos a trav\u00e9s de GIF codificados en base64 en Teams y extrae la salida a trav\u00e9s de GIF recuperados por la propia infraestructura de Microsoft. <\/p>\n<h4 style=\"text-align: left\">\u00bfComo funciona?<\/h4>\n<ul>\n<li>Para crear este caparaz\u00f3n inverso, un atacante primero debe comprometer una computadora para plantar el malware, lo que significa que el mal actor debe convencer al usuario de que instale un <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@bobbyrsec\/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7\" target=\"_blank\">manipulador malicioso<\/a>como con el phishing, que ejecuta comandos y carga la salida del comando a trav\u00e9s de una URL de GIF a un enlace web de Microsoft Teams. <\/li>\n<li>Una vez que el escenario est\u00e1 en su lugar, el actor de amenazas crea su propio inquilino de Microsoft Teams y se comunica con otros usuarios de Microsoft Teams fuera de la organizaci\u00f3n. <\/li>\n<li>El actor de la amenaza puede entonces usar un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/bobbyrsec\/Microsoft-Teams-GIFShell\" target=\"_blank\">secuencia de comandos de Python GIFShell<\/a> para enviar un mensaje a un usuario de Microsoft Teams que contiene un GIF especialmente dise\u00f1ado.  Esta imagen GIF leg\u00edtima se ha modificado para incluir comandos para ejecutar en la m\u00e1quina de un objetivo.<\/li>\n<li>Cuando el objetivo recibe el mensaje, el mensaje y el GIF se almacenar\u00e1n en los registros de Microsoft Team.  Importante tener en cuenta: Microsoft Teams se ejecuta como un proceso en segundo plano, por lo que el usuario ni siquiera necesita abrir el GIF para recibir los comandos del atacante para ejecutar.<\/li>\n<li>El stager monitorea los registros de Teams y cuando encuentra un GIF, extrae y ejecuta los comandos.<\/li>\n<li>Los servidores de Microsoft se volver\u00e1n a conectar a la URL del servidor del atacante para recuperar el GIF, que se nombra utilizando la salida codificada en base64 del comando ejecutado.<\/li>\n<li>El servidor GIFShell que se ejecuta en el servidor del atacante recibir\u00e1 esta solicitud y decodificar\u00e1 autom\u00e1ticamente los datos, lo que permitir\u00e1 a los atacantes ver el resultado del comando ejecutado en el dispositivo de la v\u00edctima.<\/li>\n<\/ul>\n<h2>la respuesta de microsoft<\/h2>\n<p>Como <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/gifshell-attack-creates-reverse-shell-using-microsoft-teams-gifs\/\" target=\"_blank\">reportado<\/a> por Lawrence Abrams en BleepingComputer, Microsoft est\u00e1 de acuerdo en que este m\u00e9todo de ataque es un problema, sin embargo, &#8220;no cumple con los requisitos para una soluci\u00f3n de seguridad urgente&#8221;.  Ellos &#8220;pueden tomar medidas en una versi\u00f3n futura para ayudar a mitigar esta t\u00e9cnica&#8221;.  Microsoft reconoce esta investigaci\u00f3n pero afirma que no se han pasado por alto los l\u00edmites de seguridad. <\/p>\n<p>Si bien Rauch afirma que, de hecho, &#8220;se descubrieron dos vulnerabilidades adicionales en Microsoft Teams, la falta de aplicaci\u00f3n de permisos y la falsificaci\u00f3n de archivos adjuntos&#8221;, Microsoft argumenta: &#8220;Para este caso&#8230; todos estos son posteriores a la explotaci\u00f3n y dependen de un objetivo que ya est\u00e1 comprometido&#8221;.  Microsoft afirma que esta t\u00e9cnica utiliza funciones leg\u00edtimas de la plataforma Teams y no es algo que puedan mitigar actualmente. <\/p>\n<p>De acuerdo con las afirmaciones de Microsoft, de hecho, este es el desaf\u00edo que enfrentan muchas organizaciones: hay configuraciones y caracter\u00edsticas que los actores de amenazas pueden explotar si no se fortalecen.  Algunos cambios en las configuraciones de su inquilino pueden evitar estos ataques entrantes de inquilinos de Teams desconocidos.<\/p>\n<h2>C\u00f3mo protegerse contra el ataque GIFShell<\/h2>\n<p>Hay configuraciones de seguridad dentro de Microsoft que, si se fortalecen, pueden ayudar a prevenir este tipo de ataque. <\/p>\n<p><b>1 \u2014 Deshabilitar el acceso externo:<\/b> Microsoft Teams, de forma predeterminada, permite que todos los remitentes externos env\u00eden mensajes a los usuarios dentro de ese inquilino.  Es probable que muchos administradores de la organizaci\u00f3n ni siquiera sepan que su organizaci\u00f3n permite la colaboraci\u00f3n de equipos externos.  Puede endurecer estas configuraciones:<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Ataque GIFShell\" border=\"0\" data-original-height=\"553\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663606947_235_Ataque-GIFShell-de-Microsoft-Teams-que-es-y-como-puede.jpg\" title=\"Ataque GIFShell\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Figura 1: Configuraciones de acceso externo de Microsoft Teams<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<ul style=\"text-align: left\">\n<li>Deshabilite el acceso a dominios externos: impida que las personas de su organizaci\u00f3n busquen, llamen, chateen y organicen reuniones con personas externas a su organizaci\u00f3n en cualquier dominio.  Si bien no es un proceso tan fluido como a trav\u00e9s de Teams, esto protege mejor a la organizaci\u00f3n y vale la pena el esfuerzo adicional.<\/li>\n<\/ul>\n<ul style=\"text-align: left\">\n<li>Deshabilite la conversaci\u00f3n de inicio de equipos externos no administrados: impida que los usuarios de Teams de su organizaci\u00f3n se comuniquen con usuarios de Teams externos cuyas cuentas no est\u00e9n administradas por una organizaci\u00f3n. <\/li>\n<\/ul>\n<p><b>2 \u2014 Obtener informaci\u00f3n sobre el inventario de dispositivos:<\/b> Puede asegurarse de que todos los dispositivos de su organizaci\u00f3n sean totalmente compatibles y seguros mediante el uso de su soluci\u00f3n XDR\/EDR\/Gesti\u00f3n de vulnerabilidades, como Crowdstrike o Tenable.  Las herramientas de seguridad de punto final son su primera l\u00ednea de defensa contra actividades sospechosas, como acceder a la carpeta de registro de equipos locales del dispositivo que se utiliza para la filtraci\u00f3n de datos en GIFShell.<\/p>\n<p>Incluso puede ir un paso m\u00e1s all\u00e1 e integrar una soluci\u00f3n SSPM (SaaS Security Posture Management), como Adaptive Shield, con sus herramientas de seguridad de punto final para obtener visibilidad y contexto para ver y administrar f\u00e1cilmente los riesgos que se derivan de este tipo de configuraciones, su SaaS usuarios y sus dispositivos asociados.<\/p>\n<h2>C\u00f3mo automatizar la protecci\u00f3n contra estos ataques <\/h2>\n<p>Hay dos m\u00e9todos para combatir las configuraciones incorrectas y fortalecer las configuraciones de seguridad: detecci\u00f3n y reparaci\u00f3n manual o una soluci\u00f3n SaaS Security Posture Management (SSPM) automatizada.  Con la multitud de configuraciones, usuarios, dispositivos y nuevas amenazas, el m\u00e9todo manual es una p\u00e9rdida de recursos insostenible que deja a los equipos de seguridad abrumados.  Sin embargo, una soluci\u00f3n SSPM, como <a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/adaptive-shield-platform?utm_source=TheHackerNews&amp;utm_medium=content_syndication&amp;utm_campaign=THN_GifShell2\" target=\"_blank\">Escudo adaptativo<\/a>, permite a los equipos de seguridad obtener un control total sobre sus aplicaciones y configuraciones SaaS.  El SSPM correcto automatiza y agiliza el proceso de monitoreo, detecci\u00f3n y correcci\u00f3n de errores de configuraci\u00f3n de SaaS, acceso de SaaS a SaaS, IAM relacionado con SaaS y riesgo de usuario de dispositivo a SaaS de conformidad con los est\u00e1ndares de la industria y de la empresa. <\/p>\n<p>En casos como el m\u00e9todo de ataque GifShell, las funciones de gesti\u00f3n de configuraci\u00f3n incorrecta de Adaptive Shield permiten a los equipos de seguridad evaluar, monitorear, identificar y alertar continuamente cuando hay una configuraci\u00f3n incorrecta (consulte la figura 1).  Luego, pueden remediar r\u00e1pidamente a trav\u00e9s del sistema o usar un sistema de emisi\u00f3n de boletos de su elecci\u00f3n para enviar los detalles pertinentes para una remediaci\u00f3n r\u00e1pida. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Ataque GIFShell\" border=\"0\" data-original-height=\"426\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663606947_394_Ataque-GIFShell-de-Microsoft-Teams-que-es-y-como-puede.jpg\" title=\"Ataque GIFShell\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Figura 2. Vista horizontal de la higiene de la aplicaci\u00f3n SaaS<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>De manera similar, la funci\u00f3n Inventario de dispositivos de Adaptive Shield (que se ve en la figura 2) puede monitorear los dispositivos que se usan en toda la empresa y se\u00f1alar cualquier riesgo de Dispositivo a SaaS mientras correlaciona esa informaci\u00f3n con los roles y permisos de los usuarios y las aplicaciones SaaS en uso.  Esto permite que los equipos de seguridad obtengan una visi\u00f3n hol\u00edstica de la postura del usuario y el dispositivo para proteger y asegurar los dispositivos de alto riesgo que pueden representar una amenaza cr\u00edtica en su entorno SaaS. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"Ataque GIFShell\" border=\"0\" data-original-height=\"432\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1663606947_894_Ataque-GIFShell-de-Microsoft-Teams-que-es-y-como-puede.jpg\" title=\"Ataque GIFShell\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Figura 3. Inventario de dispositivos<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/lp-get-a-demo?utm_source=TheHackerNews&amp;utm_medium=content_syndication&amp;utm_campaign=THN_GifShell3\" target=\"_blank\">Obtenga m\u00e1s informaci\u00f3n sobre c\u00f3mo Adaptive Shield SSPM puede proteger su ecosistema de aplicaciones SaaS.<\/a><\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/microsoft-teams-gifshell-attack-what-is.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Las organizaciones y los equipos de seguridad trabajan para protegerse de cualquier vulnerabilidad y, a menudo, no se<\/p>\n","protected":false},"author":1,"featured_media":382053,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1247,4661,440,4664,2399,4662,110268,4668,4667,7983,4654,4658,4659,4653,4655,4663,6194,149,387,4666,4665,49203,4660],"class_list":["post-382052","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-como","tag-como-hackear","tag-el","tag-filtracion-de-datos","tag-gifshell","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-protegerse","tag-puede","tag-que","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-teams","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/382052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=382052"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/382052\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/382053"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=382052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=382052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=382052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}