Kyberturvallisuuskonsultti paljastaa Teamsin puutteet, jotka mahdollistavat käänteisen kuoren luomisen GIF-tiedostojen kautta

Microsoft Teamsissa on "turvattomia" suunnitteluelementtejä tai haavoittuvuuksia, joita hyökkääjät voivat mahdollisesti käyttää. Mukaan kyberturvallisuuskonsultti Bobby Rauch joka jakoi löydön, se voitiin suorittaa Teams-viesteissä lähetetyillä haitallisilla GIF-tiedostoilla. (kautta BleepingComputer)

"Tämä ainutlaatuinen C2-infrastruktuuri voidaan hyödyntää kehittyneillä uhkatoimijoilla, jotta EDR ja muut verkonvalvontatyökalut eivät havaitse sitä. Erityisesti suojatuissa verkkoympäristöissä, joissa Microsoft-tiimit saattaa olla yksi kourallisista sallittuista, luotetuista isännistä ja ohjelmista, tämä hyökkäysketju voi olla erityisen tuhoisa", Raunch selitti. "Kaksi Microsoft Teamsista löydettyä ylimääräistä haavoittuvuutta, lupien täytäntöönpanon puute ja liitteiden huijaus mahdollistavat GIFShell-vaiheen vakuuttavan pudotuksen ja suorittamisen uhrin koneelle, mikä täydentää hyökkäysketjun uhrin kompromisseista salaviestintään."

- raportti jaettiin ensimmäisen kerran Microsoftin kanssa touko- ja kesäkuussa 2022. Se koskee Teamsin versiota 1.5.00.11163 ja sitä vanhempia, ja Raunch sanoi, että haavoittuvuuksia ei ole vielä korjattu uusimmassa Teams-versiossa, mikä antaa näyttelijöille mahdollisuuden suorittaa GIFShell-hyökkäysketju heille. Konsultin mukaan havainnot eivät kuitenkaan täyttäneet Microsoftin "huoltovaatimusta", vaikka niitä kuvattiin "suureksi tutkimukseksi" ja yritys antoi hänelle luvan "blogata / keskustella tästä tapauksesta ja/tai esitellä havainnot julkisesti".

"Usein yritykset ja suunnittelutiimit tekevät suunnittelupäätökset "oletetun riskin" perusteella, jolloin mahdollisesti vähävaikutteinen haavoittuvuus jätetään korjaamatta tai tietoturvaominaisuus poistetaan oletusarvoisesti käytöstä jonkin liiketoimintatavoitteen saavuttamiseksi, Raunch ilmaisi huolensa. "Uskon, että tämä tutkimus on havainnollistava tapaus, jossa sarja tuotesuunnittelutiimin tekemiä suunnittelupäätöksiä ja "oletettuja riskejä" voidaan ketjuttaa yhteen haitallisemmaksi hyökkäysketjuksi ja paljon suuremmalle riskin hyväksikäytölle kuin tuotesuunnittelijat kuvittelivat. oli mahdollista.”

Raunch luetteli raportissaan seitsemän Microsoft Teamsin puutetta ja haavoittuvuutta. Yksi Raunchin korostamista merkittävimmistä seikoista on se, että Microsoft Teams -viesteihin sisältyvien HTML base64 -koodattujen GIF-tiedostojen tavusisältöä ei tarkisteta haitallisen sisällön varalta. Hän selitti myös, että koska pelkkää tekstiä Teamsin lokitiedostojen lukeminen ei vaadi järjestelmänvalvojan tai korotettuja oikeuksia, asennettava haittaohjelma voi vapaasti suorittaa ja tarkistaa lokitiedostoja. Näiden haavoittuvuuksien kautta Rauch sanoi, että turvaohjauksen ohitukset, tietojen suodattaminen, komentojen suorittaminen ja tietojenkalasteluhyökkäykset ovat mahdollisia.

Kun Microsoftilta kysyttiin bugeista, Microsoft kertoi BleepingComputerille lähes saman vastauksen, jonka Raunch sai yhtiöltä.

"Tämän tyyppinen tietojenkalastelu on tärkeä tiedostaa, ja kuten aina, suosittelemme, että käyttäjät harjoittavat hyviä tietojenkäsittelytottumuksia verkossa, mukaan lukien varovaisuus napsauttaessaan linkkejä verkkosivuille, avattaessa tuntemattomia tiedostoja tai hyväksyessään tiedostojen siirtoja.

"Olemme arvioineet tämän tutkijan raportoimia tekniikoita ja todenneet, että mainitut kaksi eivät täytä kiireellisen tietoturvakorjauksen vaatimuksia. Etsimme jatkuvasti uusia tapoja vastustaa tietojenkalastelua paremmin varmistaaksemme asiakkaiden turvallisuuden, ja voimme ryhtyä toimiin tulevassa julkaisussa tämän tekniikan lieventämiseksi.

Toisaalta, vaikka Microsoft pitää Raunchin havaintoja osana "joitakin vähemmän vakavia haavoittuvuuksia, jotka eivät aiheuta välitöntä riskiä asiakkaille", niitä "huomioidaan seuraavassa Windows-versiossa tai -julkaisussa".