{"id":372502,"date":"2022-09-19T15:15:45","date_gmt":"2022-09-19T17:15:45","guid":{"rendered":"https:\/\/teknomers.com\/fr\/attaque-gifshell-de-microsoft-teams-quest-ce-que-cest-et-comment-vous-pouvez-vous-en-proteger\/"},"modified":"2022-09-19T15:15:47","modified_gmt":"2022-09-19T17:15:47","slug":"attaque-gifshell-de-microsoft-teams-quest-ce-que-cest-et-comment-vous-pouvez-vous-en-proteger","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/attaque-gifshell-de-microsoft-teams-quest-ce-que-cest-et-comment-vous-pouvez-vous-en-proteger\/","title":{"rendered":"Attaque GIFShell de Microsoft Teams : qu&#8217;est-ce que c&#8217;est et comment vous pouvez vous en prot\u00e9ger"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les organisations et les \u00e9quipes de s\u00e9curit\u00e9 s&#8217;efforcent de se prot\u00e9ger de toute vuln\u00e9rabilit\u00e9 et ne r\u00e9alisent souvent pas que le risque est \u00e9galement provoqu\u00e9 par des configurations dans leurs applications SaaS qui n&#8217;ont pas \u00e9t\u00e9 renforc\u00e9es.  La m\u00e9thode d&#8217;attaque GIFShell r\u00e9cemment publi\u00e9e, qui se produit via Microsoft Teams, est un exemple parfait de la fa\u00e7on dont les acteurs de la menace peuvent exploiter des fonctionnalit\u00e9s et des configurations l\u00e9gitimes qui n&#8217;ont pas \u00e9t\u00e9 correctement d\u00e9finies.  Cet article examine ce que la m\u00e9thode implique et les \u00e9tapes n\u00e9cessaires pour la combattre. <\/p>\n<h2>La m\u00e9thode d&#8217;attaque GifShell<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@bobbyrsec\/microsoft-teams-attachment-spoofing-and-lack-of-permissions-enforcement-leads-to-rce-via-ntlm-458aea1826c5\" target=\"_blank\">D\u00e9couvert par Bobby Rauch<\/a>, la technique d&#8217;attaque GIFShell permet aux acteurs malveillants d&#8217;exploiter plusieurs fonctionnalit\u00e9s de Microsoft Teams pour agir en tant que C&amp;C pour les logiciels malveillants et d&#8217;exfiltrer des donn\u00e9es \u00e0 l&#8217;aide de GIF sans \u00eatre d\u00e9tect\u00e9s par EDR et d&#8217;autres outils de surveillance du r\u00e9seau.  Cette m\u00e9thode d&#8217;attaque n\u00e9cessite un appareil ou un utilisateur d\u00e9j\u00e0 compromis. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/lp-get-a-demo?utm_source=TheHackerNews&amp;utm_medium=content_syndication&amp;utm_campaign=THN_GifShell1\" target=\"_blank\">D\u00e9couvrez comment un SSPM peut \u00e9valuer, surveiller et corriger les erreurs de configuration SaaS et le risque utilisateur Device-to-SaaS<\/a>.<\/p>\n<p>Le composant principal de cette attaque permet \u00e0 un attaquant de cr\u00e9er un shell invers\u00e9 qui fournit des commandes malveillantes via des GIF encod\u00e9s en base64 dans Teams, et exfiltre la sortie via des GIF r\u00e9cup\u00e9r\u00e9s par la propre infrastructure de Microsoft. <\/p>\n<h4 style=\"text-align: left\">Comment \u00e7a marche?<\/h4>\n<ul>\n<li>Pour cr\u00e9er cette coque invers\u00e9e, un attaquant doit d&#8217;abord compromettre un ordinateur pour implanter le logiciel malveillant, ce qui signifie que l&#8217;acteur malveillant doit convaincre l&#8217;utilisateur d&#8217;installer un <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@bobbyrsec\/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7\" target=\"_blank\">stager malveillant<\/a>comme avec le phishing, qui ex\u00e9cute des commandes et t\u00e9l\u00e9charge la sortie de la commande via une URL GIF vers un crochet Web Microsoft Teams. <\/li>\n<li>Une fois l&#8217;outil de transfert en place, l&#8217;auteur de la menace cr\u00e9e son propre locataire Microsoft Teams et contacte d&#8217;autres utilisateurs de Microsoft Teams en dehors de l&#8217;organisation. <\/li>\n<li>L&#8217;auteur de la menace peut alors utiliser un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/bobbyrsec\/Microsoft-Teams-GIFShell\" target=\"_blank\">Script Python GIFShell<\/a> pour envoyer un message \u00e0 un utilisateur Microsoft Teams contenant un GIF sp\u00e9cialement con\u00e7u.  Cette image GIF l\u00e9gitime a \u00e9t\u00e9 modifi\u00e9e pour inclure des commandes \u00e0 ex\u00e9cuter sur la machine d&#8217;une cible.<\/li>\n<li>Lorsque la cible re\u00e7oit le message, le message et le GIF seront stock\u00e9s dans les journaux de Microsoft Team.  Important \u00e0 noter : Microsoft Teams s&#8217;ex\u00e9cute en tant que processus d&#8217;arri\u00e8re-plan, de sorte que le GIF n&#8217;a m\u00eame pas besoin d&#8217;\u00eatre ouvert par l&#8217;utilisateur pour recevoir les commandes de l&#8217;attaquant \u00e0 ex\u00e9cuter.<\/li>\n<li>Le stager surveille les journaux Teams et lorsqu&#8217;il trouve un GIF, il extrait et ex\u00e9cute les commandes.<\/li>\n<li>Les serveurs de Microsoft se reconnecteront \u00e0 l&#8217;URL du serveur de l&#8217;attaquant pour r\u00e9cup\u00e9rer le GIF, qui est nomm\u00e9 \u00e0 l&#8217;aide de la sortie encod\u00e9e en base64 de la commande ex\u00e9cut\u00e9e.<\/li>\n<li>Le serveur GIFShell ex\u00e9cut\u00e9 sur le serveur de l&#8217;attaquant recevra cette demande et d\u00e9codera automatiquement les donn\u00e9es permettant aux attaquants de voir la sortie de la commande ex\u00e9cut\u00e9e sur l&#8217;appareil de la victime.<\/li>\n<\/ul>\n<h2>La r\u00e9ponse de Microsoft<\/h2>\n<p>Comme <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/gifshell-attack-creates-reverse-shell-using-microsoft-teams-gifs\/\" target=\"_blank\">signal\u00e9<\/a> par Lawrence Abrams dans BleepingComputer, Microsoft convient que cette m\u00e9thode d&#8217;attaque est un probl\u00e8me, cependant, elle &#8220;ne r\u00e9pond pas \u00e0 la barre pour un correctif de s\u00e9curit\u00e9 urgent&#8221;.  Ils &#8220;pourraient prendre des mesures dans une future version pour aider \u00e0 att\u00e9nuer cette technique&#8221;.  Microsoft reconna\u00eet cette recherche mais affirme qu&#8217;aucune limite de s\u00e9curit\u00e9 n&#8217;a \u00e9t\u00e9 contourn\u00e9e. <\/p>\n<p>Alors que Rauch affirme qu&#8217;en effet &#8220;deux vuln\u00e9rabilit\u00e9s suppl\u00e9mentaires d\u00e9couvertes dans Microsoft Teams, un manque d&#8217;application des autorisations et l&#8217;usurpation de pi\u00e8ce jointe&#8221;, Microsoft affirme : &#8220;Dans ce cas\u2026 tout cela est post-exploitation et repose sur une cible d\u00e9j\u00e0 compromise&#8221;.  Microsoft affirme que cette technique utilise des fonctionnalit\u00e9s l\u00e9gitimes de la plate-forme Teams et non quelque chose qu&#8217;ils peuvent actuellement att\u00e9nuer. <\/p>\n<p>Conform\u00e9ment aux affirmations de Microsoft, c&#8217;est en effet le d\u00e9fi auquel de nombreuses organisations sont confront\u00e9es &#8211; il existe des configurations et des fonctionnalit\u00e9s que les acteurs de la menace peuvent exploiter si elles ne sont pas renforc\u00e9es.  Quelques modifications apport\u00e9es aux configurations de votre locataire peuvent emp\u00eacher ces attaques entrantes de locataires Teams inconnus.<\/p>\n<h2>Comment se prot\u00e9ger contre l&#8217;attaque GIFShell<\/h2>\n<p>Il existe des configurations de s\u00e9curit\u00e9 au sein de Microsoft qui, si elles sont renforc\u00e9es, peuvent aider \u00e0 pr\u00e9venir ce type d&#8217;attaque. <\/p>\n<p><b>1 \u2014 D\u00e9sactiver l&#8217;acc\u00e8s externe\u00a0:<\/b> Microsoft Teams, par d\u00e9faut, permet \u00e0 tous les exp\u00e9diteurs externes d&#8217;envoyer des messages aux utilisateurs de ce locataire.  De nombreux administrateurs d&#8217;organisation ne savent probablement m\u00eame pas que leur organisation autorise la collaboration d&#8217;\u00e9quipes externes.  Vous pouvez renforcer ces configurations\u00a0:<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"GIFShell Attaque\" border=\"0\" data-original-height=\"553\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663607745_187_Attaque-GIFShell-de-Microsoft-Teams-quest-ce-que-cest-et.jpg\" title=\"GIFShell Attaque\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Figure 1 : Configurations d&#8217;acc\u00e8s externe Microsoft Teams<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<ul style=\"text-align: left\">\n<li>D\u00e9sactiver l&#8217;acc\u00e8s au domaine externe \u2014 Emp\u00eachez les membres de votre organisation de rechercher, d&#8217;appeler, de discuter et d&#8217;organiser des r\u00e9unions avec des personnes externes \u00e0 votre organisation dans n&#8217;importe quel domaine.  Bien qu&#8217;il ne s&#8217;agisse pas d&#8217;un processus aussi transparent que via Teams, cela prot\u00e8ge mieux l&#8217;organisation et vaut l&#8217;effort suppl\u00e9mentaire.<\/li>\n<\/ul>\n<ul style=\"text-align: left\">\n<li>D\u00e9sactiver les \u00e9quipes externes non g\u00e9r\u00e9es pour d\u00e9marrer la conversation \u2014 Emp\u00eachez les utilisateurs Teams de votre organisation de communiquer avec les utilisateurs Teams externes dont les comptes ne sont pas g\u00e9r\u00e9s par une organisation. <\/li>\n<\/ul>\n<p><b>2 &#8211; Obtenez un aper\u00e7u de l&#8217;inventaire des appareils\u00a0:<\/b> Vous pouvez vous assurer que tous les appareils de votre organisation sont enti\u00e8rement conformes et s\u00e9curis\u00e9s en utilisant votre solution XDR \/ EDR \/ Vulnerability Management, comme Crowdstrike ou Tenable.  Les outils de s\u00e9curit\u00e9 des terminaux constituent votre premi\u00e8re ligne de d\u00e9fense contre les activit\u00e9s suspectes, telles que l&#8217;acc\u00e8s au dossier des journaux des \u00e9quipes locales de l&#8217;appareil, qui est utilis\u00e9 pour l&#8217;exfiltration de donn\u00e9es dans GIFShell.<\/p>\n<p>Vous pouvez m\u00eame aller plus loin et int\u00e9grer une solution SSPM (SaaS Security Posture Management), comme Adaptive Shield, \u00e0 vos outils de s\u00e9curit\u00e9 des terminaux pour gagner en visibilit\u00e9 et en contexte pour voir et g\u00e9rer facilement les risques qui d\u00e9coulent de ces types de configurations, votre SaaS utilisateurs et leurs appareils associ\u00e9s.<\/p>\n<h2>Comment automatiser la protection contre ces attaques <\/h2>\n<p>Il existe deux m\u00e9thodes pour lutter contre les erreurs de configuration et renforcer les param\u00e8tres de s\u00e9curit\u00e9\u00a0: la d\u00e9tection et la correction manuelles ou une solution automatis\u00e9e de gestion de la posture de s\u00e9curit\u00e9 SaaS (SSPM).  Avec la multitude de configurations, d&#8217;utilisateurs, d&#8217;appareils et de nouvelles menaces, la m\u00e9thode manuelle est une ponction insoutenable sur les ressources, laissant les \u00e9quipes de s\u00e9curit\u00e9 d\u00e9bord\u00e9es.  Cependant, une solution SSPM, telle que <a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/adaptive-shield-platform?utm_source=TheHackerNews&amp;utm_medium=content_syndication&amp;utm_campaign=THN_GifShell2\" target=\"_blank\">Bouclier adaptatif<\/a>, permet aux \u00e9quipes de s\u00e9curit\u00e9 d&#8217;avoir un contr\u00f4le total sur leurs applications et configurations SaaS.  Le bon SSPM automatise et rationalise le processus de surveillance, de d\u00e9tection et de correction des erreurs de configuration SaaS, de l&#8217;acc\u00e8s SaaS \u00e0 SaaS, de l&#8217;IAM li\u00e9 au SaaS et du risque utilisateur d&#8217;appareil \u00e0 SaaS, conform\u00e9ment aux normes du secteur et de l&#8217;entreprise. <\/p>\n<p>Dans des cas tels que la m\u00e9thode d&#8217;attaque GifShell, les fonctionnalit\u00e9s de gestion des erreurs de configuration d&#8217;Adaptive Shield permettent aux \u00e9quipes de s\u00e9curit\u00e9 d&#8217;\u00e9valuer, de surveiller, d&#8217;identifier et d&#8217;alerter en permanence en cas d&#8217;erreur de configuration (voir figure 1).  Ensuite, ils peuvent rapidement corriger via le syst\u00e8me ou utiliser un syst\u00e8me de billetterie de leur choix pour envoyer les d\u00e9tails pertinents pour une correction rapide. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"GIFShell Attaque\" border=\"0\" data-original-height=\"426\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663607745_756_Attaque-GIFShell-de-Microsoft-Teams-quest-ce-que-cest-et.jpg\" title=\"GIFShell Attaque\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Figure 2. Vue panoramique de l&#8217;hygi\u00e8ne des applications SaaS<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>De m\u00eame, la fonction d&#8217;inventaire des appareils d&#8217;Adaptive Shield (illustr\u00e9e \u00e0 la figure 2) peut surveiller les appareils utilis\u00e9s \u00e0 l&#8217;\u00e9chelle de l&#8217;entreprise et signaler tout risque d&#8217;appareil \u00e0 SaaS tout en corr\u00e9lant ces informations avec les r\u00f4les et les autorisations des utilisateurs et les applications SaaS utilis\u00e9es.  Cela permet aux \u00e9quipes de s\u00e9curit\u00e9 d&#8217;avoir une vue globale de la posture de l&#8217;utilisateur et de l&#8217;appareil afin de prot\u00e9ger et de s\u00e9curiser les appareils \u00e0 haut risque qui peuvent constituer une menace critique dans leur environnement SaaS. <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left\">\n<tbody>\n<tr>\n<td style=\"text-align: center\"><img decoding=\"async\" alt=\"GIFShell Attaque\" border=\"0\" data-original-height=\"432\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663607745_976_Attaque-GIFShell-de-Microsoft-Teams-quest-ce-que-cest-et.jpg\" title=\"GIFShell Attaque\" \/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center\">Figure 3. Inventaire des appareils<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.adaptive-shield.com\/lp-get-a-demo?utm_source=TheHackerNews&amp;utm_medium=content_syndication&amp;utm_campaign=THN_GifShell3\" target=\"_blank\">D\u00e9couvrez comment Adaptive Shield SSPM peut prot\u00e9ger votre \u00e9cosyst\u00e8me d&#8217;applications SaaS.<\/a><\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/microsoft-teams-gifshell-attack-what-is.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les organisations et les \u00e9quipes de s\u00e9curit\u00e9 s&#8217;efforcent de se prot\u00e9ger de toute vuln\u00e9rabilit\u00e9 et ne r\u00e9alisent souvent pas que le risque est \u00e9galement provoqu\u00e9 par des configurations dans leurs applications SaaS qui n&#8217;ont pas \u00e9t\u00e9 renforc\u00e9es. La m\u00e9thode d&#8217;attaque GIFShell r\u00e9cemment publi\u00e9e, qui se produit via Microsoft Teams, est un exemple parfait de la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":372503,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1933,1820,767,4168,4158,4165,4161,110097,4157,4159,4171,4170,4167,8362,4160,4163,4162,4293,2169,473,4172,4169,98270,4166,188,4164],"class_list":["post-372502","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaque","tag-cest","tag-comment","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-gifshell","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pouvez","tag-proteger","tag-questce","tag-securite-informatique","tag-securite-internet","tag-teams","tag-violation-de-donnees","tag-vous","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/372502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=372502"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/372502\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/372503"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=372502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=372502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=372502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}