Konsultan keamanan siber mengekspos kelemahan Tim yang memungkinkan pembuatan shell terbalik melalui GIF

Ada elemen desain atau kerentanan "tidak aman" dalam Microsoft Teams yang mungkin dapat digunakan oleh penyerang. Berdasarkan konsultan keamanan siber Bobby Rauch yang membagikan penemuan, itu dapat dilakukan menggunakan GIF berbahaya yang dikirim dalam pesan Teams. (melalui BleepingComputer)

“Infrastruktur C2 yang unik ini dapat dimanfaatkan oleh pelaku ancaman yang canggih untuk menghindari deteksi oleh EDR dan alat pemantauan jaringan lainnya. Khususnya di lingkungan jaringan yang aman, di mana Microsoft Tim mungkin salah satu dari segelintir host dan program yang diizinkan dan tepercaya, rantai serangan ini bisa sangat menghancurkan,” jelas Raunch. “Dua kerentanan tambahan yang ditemukan di Microsoft Teams, kurangnya penegakan izin dan spoofing lampiran, memungkinkan stager GIFShell dijatuhkan dan dieksekusi secara meyakinkan di mesin korban, menyelesaikan rantai serangan dari kompromi korban hingga komunikasi rahasia.”

Grafik melaporkan pertama kali dibagikan dengan Microsoft pada bulan Mei dan Juni 2022. Ini menyangkut Teams Versi 1.5.00.11163 dan sebelumnya, dan Raunch mengatakan kerentanannya masih belum ditambal dalam versi Teams terbaru, memberi para aktor kesempatan untuk melakukan rantai serangan GIFShell pada mereka. Namun, menurut konsultan tersebut, temuan tersebut gagal memenuhi "standar layanan" Microsoft meskipun digambarkan sebagai "penelitian hebat" dan perusahaan memberinya izin untuk "membuat blog tentang/membahas kasus ini dan/atau mempresentasikan temuan Anda secara publik."

“Seringkali, perusahaan dan tim teknik membuat keputusan desain berdasarkan 'risiko yang diasumsikan,' di mana potensi kerentanan dampak rendah dibiarkan tidak ditambal atau fitur keamanan dinonaktifkan secara default, untuk mencapai beberapa tujuan bisnis,” Raunch mengungkapkan keprihatinannya. “Saya percaya penelitian ini menunjukkan contoh di mana serangkaian keputusan desain dan “asumsi risiko” yang dibuat oleh tim rekayasa produk, dapat dirantai bersama menjadi rantai serangan yang lebih merusak, dan eksploitasi risiko yang jauh lebih tinggi daripada yang dibayangkan oleh perancang produk. itu mungkin.”

Raunch menyebutkan dalam laporannya tujuh kelemahan dan kerentanan Tim Microsoft. Salah satu poin paling menonjol yang disorot oleh Raunch adalah fakta bahwa konten byte dari GIF yang disandikan HTML base64 yang disertakan dalam pesan Microsoft Teams tidak dipindai untuk konten berbahaya. Dia juga menjelaskan bahwa karena pembacaan file log Teams teks biasa tidak memerlukan administrator atau hak istimewa yang lebih tinggi, stager berbahaya yang akan diinstal dapat dengan bebas menjalankan dan memindai file log. Melalui kerentanan ini, Rauch mengatakan bahwa bypass kontrol keamanan, eksfiltrasi data, eksekusi perintah, dan serangan phishing dimungkinkan.

Ketika ditanya tentang bug tersebut, Microsoft memberi tahu BleepingComputer tanggapan yang hampir sama dengan yang diterima Raunch dari perusahaan.

“Jenis phishing ini penting untuk diperhatikan dan seperti biasa, kami menyarankan agar pengguna mempraktikkan kebiasaan komputasi yang baik secara online, termasuk berhati-hati saat mengklik tautan ke halaman web, membuka file yang tidak dikenal, atau menerima transfer file.

“Kami telah menilai teknik yang dilaporkan oleh peneliti ini dan telah menentukan bahwa dua yang disebutkan tidak memenuhi standar untuk perbaikan keamanan yang mendesak. Kami terus mencari cara baru untuk melawan phishing dengan lebih baik guna membantu memastikan keamanan pelanggan dan dapat mengambil tindakan di rilis mendatang untuk membantu mengurangi teknik ini.”

Di sisi lain, sementara Microsoft menganggap temuan Raunch sebagai bagian dari "beberapa kerentanan tingkat keparahan yang lebih rendah yang tidak menimbulkan risiko langsung bagi pelanggan," itu "akan dipertimbangkan untuk versi atau rilis Windows berikutnya."