Консультант з кібербезпеки виявляє недоліки Teams, які дозволяють створювати зворотну оболонку за допомогою GIF-файлів

У Microsoft Teams є «небезпечні» елементи дизайну або вразливості, якими можуть скористатися зловмисники. Згідно з консультант з кібербезпеки Боббі Раух хто поділився відкриттям, його можна було зробити за допомогою шкідливих GIF-файлів, надісланих у повідомленнях Teams. (через BleepingComputer)

«Ця унікальна інфраструктура C2 може бути використана складними учасниками загроз, щоб уникнути виявлення EDR та іншими інструментами моніторингу мережі. Особливо в безпечних мережевих середовищах, де Microsoft Teams може бути одним із кількох дозволених, надійних хостів і програм, цей ланцюжок атак може бути особливо руйнівним», – пояснив Раунч. «Дві додаткові вразливості, виявлені в Microsoft Teams, відсутність примусового виконання дозволів і підробка вкладень, дозволяють переконливо скинути і виконати програму GIFShell на комп’ютері жертви, завершуючи ланцюжок атак від компрометації жертви до прихованого зв’язку».

Команда звітом вперше було надіслано Microsoft у травні та червні 2022 року. Це стосується версії Teams 1.5.00.11163 і ранішої версії, і Раунч сказав, що вразливості все ще не виправлено в останній версії Teams, що дає акторам можливість виконати на них ланцюжок атак GIFShell. Однак, за словами консультанта, результати не відповідали «планці обслуговування» Microsoft, незважаючи на те, що вони були описані як «чудове дослідження» і компанія дала йому дозвіл «вести блог про цю справу/обговорювати цю справу та/або оприлюднювати свої висновки».

«Часто компанії та команди інженерів приймають проектні рішення на основі «передбачуваного ризику», у результаті чого потенційно низька вразливість залишається невиправленою або функція безпеки вимикається за замовчуванням, щоб досягти певної бізнес-цілі», — висловив своє занепокоєння Раунч. «Я вважаю, що це дослідження демонструє приклад, коли низку дизайнерських рішень і «передбачених ризиків», прийнятих командою розробників продукту, можна об’єднати в більш згубний ланцюжок атак і набагато більш ризикований експлойт, ніж уявляли розробники продукту. було можливо».

Раунч перерахував у своєму звіті сім недоліків і вразливостей Microsoft Teams. Одним із найбільш помітних моментів, виділених Raunch, є той факт, що байтовий вміст GIF-файлів у кодуванні HTML base64, які входять до повідомлень Microsoft Teams, не сканується на наявність шкідливого вмісту. Він також пояснив, що, оскільки для читання файлів журналу Teams у звичайному тексті не потрібні права адміністратора чи підвищені права, шкідлива програма, яка буде встановлена, може вільно запускати та сканувати файли журналів. Через ці вразливості, за словами Рауха, можливі обхід контролю безпеки, викрадання даних, виконання команд і фішингові атаки.

На запитання про помилки Microsoft відповіла BleepingComputer майже такою ж відповіддю, яку Раунч отримав від компанії.

«Важливо знати про цей тип фішингу, і, як завжди, ми рекомендуємо користувачам практикувати хороші комп’ютерні звички в Інтернеті, зокрема проявляти обережність, натискаючи посилання на веб-сторінки, відкриваючи невідомі файли або приймаючи передачу файлів.

«Ми оцінили методи, про які повідомив цей дослідник, і визначили, що обидві згадані не відповідають планці термінового виправлення безпеки. Ми постійно шукаємо нові способи кращого протистояння фішингу, щоб забезпечити безпеку клієнтів, і можемо вжити заходів у майбутньому випуску, щоб допомогти пом’якшити цю техніку».

З іншого боку, хоча Microsoft вважає висновки Raunch частиною «деяких вразливостей меншої серйозності, які не становлять безпосереднього ризику для клієнтів», це «буде розглянуто для наступної версії або випуску Windows».