Siber güvenlik danışmanı, GIF'ler aracılığıyla ters kabuk oluşturmaya izin veren Teams kusurlarını ortaya koyuyor

Microsoft Teams içinde muhtemelen saldırganlar tarafından kullanılabilecek "güvensiz" tasarım öğeleri veya güvenlik açıkları vardır. Göre siber güvenlik danışmanı Bobby Rauch Keşfi kim paylaştıysa, Teams mesajlarında gönderilen kötü amaçlı GIF'ler kullanılarak gerçekleştirilebilir. (aracılığıyla BleepingComputer)

“Bu benzersiz C2 altyapısı, EDR ve diğer ağ izleme araçları tarafından tespit edilmekten kaçınmak için karmaşık tehdit aktörleri tarafından kullanılabilir. Özellikle güvenli ağ ortamlarında, Microsoft Ekipleri bir avuç izin verilen, güvenilir ana bilgisayar ve programdan biri olabilir, bu saldırı zinciri özellikle yıkıcı olabilir," diye açıkladı Raunch. "Microsoft Teams'de keşfedilen iki ek güvenlik açığı, izin zorlaması ve ek sahtekarlığı eksikliği, GIFShell hazırlayıcısının ikna edici bir şekilde kurbanın makinesinde bırakılmasına ve yürütülmesine izin vererek, kurbanın güvenliğinin sağlanmasından gizli iletişime kadar saldırı zincirini tamamlıyor."

The rapor Microsoft ile ilk olarak 2022 yılının Mayıs ve Haziran aylarında paylaşılmıştı. Bu, Teams Sürüm 1.5.00.11163 ve önceki sürümleriyle ilgilidir ve Raunch, güvenlik açıklarının en son Teams sürümünde hala yamalanmamış olduğunu ve oyunculara GIFShell saldırı zincirini üzerlerinde gerçekleştirme şansı verdiğini söyledi. Ancak danışmana göre, bulgular Microsoft'un "büyük araştırma" olarak tanımlanmasına ve şirketin ona "bu vaka hakkında blog yazma/tartışma ve/veya bulgularınızı herkese açık olarak sunma" izni vermesine rağmen Microsoft'un "hizmet çıtasını" karşılayamadı.

Raunch, "Çoğu zaman, şirketler ve mühendislik ekipleri, bazı iş hedeflerine ulaşmak için potansiyel olarak düşük etkili bir güvenlik açığının yamasız bırakıldığı veya bir güvenlik özelliğinin varsayılan olarak devre dışı bırakıldığı 'varsayılan riske' dayalı tasarım kararları verir," dedi. "Bu araştırmanın, bir ürün mühendisliği ekibi tarafından verilen bir dizi tasarım kararının ve "varsayılan risklerin", daha tehlikeli bir saldırı zincirine zincirlenebileceği ve ürün tasarımcılarının hayal ettiğinden çok daha yüksek bir risk istismarına bağlanabileceği bir örneği gösterdiğine inanıyorum. mümkündü.”

Raunch, raporunda yedi Microsoft Teams kusurunu ve güvenlik açığını sıraladı. Raunch tarafından vurgulanan en dikkate değer noktalardan biri, Microsoft Teams mesajlarında yer alan HTML base64 kodlu GIF'lerin bayt içeriğinin kötü amaçlı içerik için taranmamasıdır. Ayrıca, düz metin Teams günlük dosyalarını okumak için yönetici veya yükseltilmiş ayrıcalıklara ihtiyaç duymadığından, kurulacak olan kötü niyetli hazırlayıcının günlük dosyalarını özgürce çalıştırıp tarayabileceğini açıkladı. Bu güvenlik açıkları sayesinde Rauch, güvenlik kontrolünün atlanması, veri hırsızlığı, komut yürütme ve kimlik avı saldırılarının mümkün olduğunu söyledi.

Hatalar sorulduğunda Microsoft, BleepingComputer'a Raunch'ın şirketten aldığı yanıtın hemen hemen aynısını söyledi.

“Bu tür kimlik avının farkında olmak önemlidir ve her zaman olduğu gibi, kullanıcıların web sayfalarına bağlantılara tıklarken, bilinmeyen dosyaları açarken veya dosya aktarımlarını kabul ederken dikkatli olmaları da dahil olmak üzere, çevrimiçi olarak iyi bilgi işlem alışkanlıkları edinmelerini öneririz.

"Bu araştırmacı tarafından bildirilen teknikleri değerlendirdik ve bahsedilen ikisinin acil bir güvenlik düzeltmesi için çıtayı karşılamadığını belirledik. Müşteri güvenliğini sağlamaya yardımcı olmak için kimlik avına karşı daha iyi direnmenin yeni yollarını sürekli olarak arıyoruz ve bu tekniğin hafifletilmesine yardımcı olmak için gelecekteki bir sürümde harekete geçebiliriz."

Öte yandan Microsoft, Raunch'un bulgularını "müşteriler için hemen risk oluşturmayan daha düşük önemdeki bazı güvenlik açıklarının" bir parçası olarak değerlendirirken, "Windows'un bir sonraki sürümü veya sürümü için dikkate alınacaktır."