Il consulente per la sicurezza informatica espone i difetti di Teams consentendo la creazione di shell inverse tramite GIF

All'interno di Microsoft Teams sono presenti elementi di progettazione "non sicuri" o vulnerabilità che potrebbero essere utilizzati dagli aggressori. Secondo consulente per la sicurezza informatica Bobby Rauch che ha condiviso la scoperta, potrebbe essere eseguita utilizzando le GIF dannose inviate nei messaggi di Teams. (attraverso BleepingComputer)

“Questa infrastruttura C2 unica può essere sfruttata da sofisticati attori delle minacce per evitare il rilevamento da parte di EDR e altri strumenti di monitoraggio della rete. In particolare in ambienti di rete sicuri, dove Microsoft Squadre potrebbe essere uno dei pochi host e programmi consentiti e affidabili, questa catena di attacco può essere particolarmente devastante", ha spiegato Raunch. "Due ulteriori vulnerabilità scoperte in Microsoft Teams, la mancanza di imposizione delle autorizzazioni e lo spoofing degli allegati, consentono di rilasciare ed eseguire in modo convincente lo stager GIFShell sul computer della vittima, completando la catena di attacco dalla compromissione della vittima alle comunicazioni segrete".

I rapporto è stato condiviso per la prima volta con Microsoft a maggio e giugno del 2022. Riguarda Teams versione 1.5.00.11163 e precedenti e Raunch ha affermato che le vulnerabilità non sono ancora state patchate nell'ultima versione di Teams, dando agli attori la possibilità di eseguire la catena di attacco GIFShell su di loro. Tuttavia, secondo il consulente, i risultati non sono riusciti a soddisfare il "bar per la manutenzione" di Microsoft nonostante siano stati descritti come "un'ottima ricerca" e la società gli ha concesso il permesso di "bloggare/discutere questo caso e/o presentare pubblicamente i risultati".

"Spesso, le aziende e i team di progettazione prendono decisioni di progettazione in base al "rischio presunto", per cui una vulnerabilità potenzialmente a basso impatto viene lasciata senza patch o una funzionalità di sicurezza viene disabilitata per impostazione predefinita, al fine di raggiungere alcuni obiettivi aziendali", ha espresso Raunch la sua preoccupazione. "Credo che questa ricerca sia dimostrativa di un'istanza in cui una serie di decisioni di progettazione e "rischi presunti" presi da un team di ingegneri del prodotto, possono essere incatenati in una catena di attacco più perniciosa e un exploit di rischio molto più elevato di quanto immaginassero i designer di prodotto era possibile”.

Raunch ha enumerato nel suo rapporto i sette difetti e vulnerabilità di Microsoft Teams. Uno dei punti più importanti evidenziati da Raunch è il fatto che il contenuto in byte delle GIF con codifica HTML base64 incluse nei messaggi di Microsoft Teams non viene scansionato alla ricerca di contenuti dannosi. Ha anche spiegato che, poiché la lettura dei file di registro di Teams in testo normale non richiede privilegi di amministratore o elevati, lo stager dannoso che verrebbe installato può eseguire ed analizzare liberamente i file di registro. Attraverso queste vulnerabilità, Rauch ha affermato che sono possibili bypass del controllo di sicurezza, esfiltrazione dei dati, esecuzione di comandi e attacchi di phishing.

Alla domanda sui bug, Microsoft ha detto a BleepingComputer quasi la stessa risposta che Raunch ha ricevuto dall'azienda.

“È importante essere consapevoli di questo tipo di phishing e, come sempre, consigliamo agli utenti di praticare buone abitudini informatiche online, compresa la cautela quando si fa clic su collegamenti a pagine Web, si aprono file sconosciuti o si accettano trasferimenti di file.

“Abbiamo valutato le tecniche riportate da questo ricercatore e abbiamo stabilito che i due menzionati non soddisfano il limite per una soluzione di sicurezza urgente. Siamo costantemente alla ricerca di nuovi modi per resistere meglio al phishing per garantire la sicurezza dei clienti e potremmo intervenire in una versione futura per mitigare questa tecnica".

D'altra parte, mentre Microsoft considera i risultati di Raunch come parte di "alcune vulnerabilità di gravità inferiore che non rappresentano un rischio immediato per i clienti", "verranno presi in considerazione per la prossima versione o rilascio di Windows".