Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams

Екатерина Быстрова 09 Сентября 2022 - 12:18
...
Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams

Новый вектор атаки “GIFShell“ позволяет киберпреступникам использовать Microsoft Teams в фишинговых кампаниях. В результате злоумышленники могут выполнить команды и выкрасть необходимые данные с помощью графических изображений в формате GIF.

По словам исследователей, которые поделились новым вектором с BleepingComputer, атакующие могут связать ряд уязвимостей в Microsoft Teams, что позволит им задействовать легитимную инфраструктуру Microsoft для доставки вредоносных файлов, выполнения команд и извлечения файлов с помощью GIF.

В процессе кражи данных через серверы Microsoft защитным программам будет сложнее детектировать нежелательный трафик, поскольку они будут расценивать его как безобидный поток Microsoft Team.

Принцип GIFShell строится на использовании ряда уязвимостей в Microsoft Teams и состоит из следующих шагов:

  • обход проверок безопасности Microsoft Teams — позволяет внешним пользователям отправлять вложения юзерам Microsoft Teams;
  • модификация отправленных вложений — позволяет заставить пользователя скачать файл по внешнему URL вместо сгенерированной ссылки SharePoint;
  • спуфинг вложений, который необходим для того, чтобы они выглядели безобидными файлами, но в итоге загружали вредоносный исполняемый файл или документ;
  • небезопасные URI-схемы — позволяют стащить хеш SMB NTLM или провести атаку на ретранслятор NTLM (NTLM relay);
  • Microsoft поддерживает отправку зашифрованных base64 GIF, но не сканирует содержимое байтов этих GIF. Это позволяет доставлять вредоносные команды с помощью легитимных с виду GIF;
  • Microsoft хранит сообщения Teams в лог-файле, который хранится локально на устройстве жертвы. Причём он доступен пользователю с низкими правами.
  • серверы Microsoft получают GIF с удалённых серверов, допуская извлечения данных с помощью имён GIF-файлов.

На вектор указал эксперт Бобби Раух, выявивший множество уязвимостей в Microsoft Teams, которые можно использовать в связке для выполнения команд, извлечения данных, обхода проверок и фишинговых атак.

GIFShell, по словам специалиста, позволяет атакующему создать обратный шелл, доставляющий вредоносные команды через зашифрованные base64 GIF в Teams. Раух даже опубликовал Python-скрипт, отправляющий пользователю Microsoft Teams сообщение, содержащее специально созданный GIF с командами.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

МВД России запустило чат-бот для помощи жертвам мошенников
Яков Шпунт 27 Декабря 2024 - 10:36
Домашние пользователи Защита от мошенничества
МВД России запустило чат-бот для помощи жертвам мошенников

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) запустило чат-бот в Telegram для помощи пострадавшим от телефонных мошенников.

Бот, как сообщает подразделение, призван помочь принять правильное решение в стрессовой ситуации, когда преступники получили контроль над приложениями и онлайн-сервисами. Адрес бота — @cyberpolicerus_bot.

Как сообщает официальный представитель МВД Ирина Волк, конечная цель мошенников часто не ограничивается только кражей денег:

«Запугав потерпевших, аферисты не только требуют расстаться с деньгами, но и провоцируют на различные преступления, в том числе террористической направленности».

По оценкам ТАСС, количество инцидентов, связанных с попытками поджога различных объектов, превысило 40. Большинство тех, кто под влиянием злоумышленников пошел на преступления, составляют студенты и пенсионеры.

По данным исследования Ozon, проведенного в декабре 2024 года, с онлайн- и телефонным мошенничеством сталкивались 75% россиян или их родственников.

Средний возраст жертв аферистов составил 65 лет. Каждый десятый случай мошенничества завершился кражей денежных средств, из них треть потеряла более 50 тыс. рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Cloudflare отбила рекордную DDoS-атаку — 3,8 Тбит/с
Новость
Cloudflare отбила рекордную DDoS-атаку — 3,8 Тбит/с
Вредонос Winos 4.0 атакует геймеров под видом оптимизаторов
Новость
Вредонос Winos 4.0 атакует геймеров под видом оптимизаторов
В сервере видеоконференций VINTEO устранены две уязвимости 0-day
Новость
В сервере видеоконференций VINTEO устранены две уязвимости 0...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.