Η επίθεση GIFShell δημιουργεί αντίστροφο shell χρησιμοποιώντας GIFs του Microsoft Teams με αποτέλεσμα οι χάκερς να κάνουν επιθέσεις phishing.
Μια νέα τεχνική επίθεσης που ονομάζεται «GIFShell» επιτρέπει στους παράγοντες απειλών να κάνουν κατάχρηση του Microsoft Teams για νέες επιθέσεις phishing και να εκτελούν κρυφά εντολές για την κλοπή δεδομένων χρησιμοποιώντας …GIFs.
Το νέο σενάριο επίθεσης, το οποίο κοινοποιείται αποκλειστικά με το BleepingComputer, δείχνει πώς οι εισβολείς μπορούν να συνδυάσουν πολλές ευπάθειες και ελαττώματα του Microsoft Teams για κατάχρηση της νόμιμης υποδομής της Microsoft για την παράδοση κακόβουλων αρχείων, commands και να εκτελέσουν εξαγωγή δεδομένων μέσω GIF.
Καθώς η εξαγωγή δεδομένων πραγματοποιείται μέσω των servers της Microsoft, η κίνηση θα είναι πιο δύσκολο να εντοπιστεί από λογισμικό antivirus που τη βλέπει ως νόμιμη κίνηση του Microsoft Teams.
Συνολικά, η τεχνική επίθεσης χρησιμοποιεί μια ποικιλία ελαττωμάτων και τρωτών σημείων του Microsoft Teams:
- Παρακάμπτει τα security controls του Microsoft Teams επιτρέποντας σε εξωτερικούς χρήστες να στέλνουν συνημμένα σε χρήστες του Microsoft Teams.
- Τροποποιεί τα απεσταλμένα συνημμένα ώστε οι χρήστες να κατεβάζουν αρχεία από μια εξωτερική διεύθυνση URL και όχι από το SharePoint link.
- Κάνει spoof τα συνημμένα Microsoft Teams ώστε να εμφανίζονται ως αβλαβή αρχεία, αλλά γίνεται λήψη ενός κακόβουλου εκτελέσιμου αρχείου ή εγγράφου.
- Εκμεταλλεύτεται τα μη ασφαλή URI schemes που επιτρέπουν την κλοπή SMB NTLM hash ή επιθέσεις NTLM Relay.
Η Microsoft υποστηρίζει την αποστολή GIF με κωδικοποίηση HTML base64, αλλά δεν σαρώνει το περιεχόμενο byte αυτών των GIF. Αυτό επιτρέπει την παράδοση κακόβουλων commands μέσα σε ένα GIF με κανονική εμφάνιση.
Η Microsoft αποθηκεύει τα μηνύματα του Teams σε ένα αρχείο log με δυνατότητα ανάλυσης, που βρίσκεται τοπικά στον υπολογιστή του θύματος και είναι προσβάσιμο από έναν χρήστη με χαμηλά προνόμια.
Οι servers της Microsoft ανακτούν GIF από απομακρυσμένους servers, επιτρέποντας την εξαγωγή δεδομένων μέσω ονομάτων αρχείων GIF.
GIFShell – ένα αντίστροφο shell μέσω GIF
Η νέα αλυσίδα επιθέσεων ανακαλύφθηκε από τον σύμβουλο κυβερνοασφάλειας Bobby Rauch, ο οποίος βρήκε πολυάριθμα τρωτά σημεία ή ελαττώματα στο Microsoft Teams που μπορούν να συνδεθούν μεταξύ τους για εκτέλεση εντολών, εξαγωγή δεδομένων, παρακάμψεις security control και επιθέσεις phishing.
Το κύριο στοιχείο αυτής της επίθεσης ονομάζεται «GIFShell», το οποίο επιτρέπει σε έναν εισβολέα να δημιουργήσει ένα αντίστροφο shell που παρέχει κακόβουλες εντολές μέσω κωδικοποιημένων GIF στο base64 στο Teams και εξάγει το output μέσω GIF που ανακτά η ίδια η υποδομή της Microsoft.
Δείτε επίσης: Η ομάδα Lazarus στοχοποιεί τους παρόχους ενέργειας των ΗΠΑ
Για να δημιουργήσει αυτό το αντίστροφο shell, ο εισβολέας πρέπει πρώτα να πείσει έναν χρήστη να εγκαταστήσει ένα κακόβουλο stager που εκτελεί commands και ανεβάζει το command output μέσω μιας διεύθυνσης GIF URL σε ένα web hook του Microsoft Teams. Ωστόσο, όπως γνωρίζουμε, οι επιθέσεις phishing λειτουργούν καλά στη μόλυνση συσκευών, ο Rauch επινόησε μια νέα επίθεση phishing στο Microsoft Teams για να βοηθήσει σε αυτό, την οποία περιγράφουμε αργότερα.
Το GIFShell λειτουργεί εξαπατώντας έναν χρήστη για να φορτώσει ένα εκτελέσιμο malware που ονομάζεται stager στη συσκευή του, το οποίο θα σαρώνει συνεχώς τα αρχεία log του Microsoft Teams που βρίσκονται στο: $HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb. leveldb\*.log.
Όλα τα ληφθέντα μηνύματα αποθηκεύονται σε αυτά τα αρχεία log και είναι αναγνώσιμα από όλες τις ομάδες χρηστών των Windows, πράγμα που σημαίνει ότι οποιοδήποτε malware στη συσκευή μπορεί να έχει πρόσβαση σε αυτά.
Μόλις τοποθετηθεί το stager, ένας παράγοντας απειλών θα δημιουργήσει τον δικό του «tenant» του Microsoft Teams και θα επικοινωνήσει με άλλους χρήστες του Microsoft Teams εκτός του οργανισμού του. Οι εισβολείς μπορούν εύκολα να το επιτύχουν αυτό, καθώς η Microsoft επιτρέπει την εξωτερική επικοινωνία από προεπιλογή στο Microsoft Teams.
Για να ξεκινήσει η επίθεση, ο παράγοντας απειλής μπορεί να χρησιμοποιήσει το σενάριο GIFShell Python του Rauch για να στείλει ένα μήνυμα σε έναν χρήστη του Microsoft Teams που περιέχει ένα ειδικά κατασκευασμένο GIF. Αυτή η νόμιμη εικόνα GIF έχει τροποποιηθεί για να περιλαμβάνει εντολές για εκτέλεση στο μηχάνημα του στόχου του.
Όταν ο στόχος λάβει το μήνυμα, το μήνυμα και το GIF θα αποθηκευτούν στα αρχεία log του Microsoft Teams, τα οποία παρακολουθεί το κακόβουλο stager.
Δείτε επίσης: North Face: 200.000 λογαριασμοί παραβιάστηκαν μέσω credential stuffing
Όταν το stager εντοπίσει ένα μήνυμα με ένα GIF, θα εξαγάγει τις κωδικοποιημένες εντολές του base64 και θα τις εκτελέσει στη συσκευή. Το GIFShell PoC θα λάβει τότε το output της εκτελεσμένης εντολής και θα τη μετατρέψει σε κείμενο base64.
Αυτό το κείμενο base64 χρησιμοποιείται ως filename για ένα απομακρυσμένο GIF που είναι ενσωματωμένο σε ένα Microsoft Teams Survey Card, το οποίο το stager υποβάλλει στο δημόσιο webhook του Microsoft Teams.
Καθώς το Microsoft Teams κάνει render flash κάρτες για τον χρήστη, οι servers της Microsoft θα συνδεθούν ξανά στη διεύθυνση URL του server του εισβολέα για να ανακτήσουν το GIF, το οποίο ονοματίζεται χρησιμοποιώντας το κωδικοποιημένο output base64 της εκτελεσμένης εντολής.
Ο server GIFShell που εκτελείται στον server του εισβολέα θα λάβει αυτό το αίτημα και θα αποκωδικοποιήσει αυτόματα το όνομα του αρχείου επιτρέποντας στους εισβολείς να δουν το output της εντολής που εκτελείται στη συσκευή του θύματος, όπως φαίνεται παρακάτω.
Για παράδειγμα, ένα ανακτημένο αρχείο GIF με το όνομα «dGhlIHVzZXIgaXM6IA0KYm9iYnlyYXVjaDYyNzRcYm9iYnlyYXVJa0K.gif» θα αποκωδικοποιηθεί στο output από την εντολή «whoami» που εκτελείται στη μολυσμένη συσκευή:
ο χρήστης είναι:
bobbyrauch6274\bobbyrauIkBáë
Οι φορείς απειλών μπορούν να συνεχίσουν να χρησιμοποιούν τον server GIFShell για να στείλουν περισσότερα GIF με περαιτέρω ενσωματωμένα executable commands και να συνεχίσουν να λαμβάνουν το output όταν η Microsoft επιχειρεί να ανακτήσει τα GIF.
Καθώς αυτά τα αιτήματα υποβάλλονται από τον ιστότοπο της Microsoft, urlp.asm.skype.com, που χρησιμοποιείται για την επικοινωνία του Microsoft Teams, το traffic θα θεωρείται νόμιμο και δεν θα εντοπιστεί από το λογισμικό ασφαλείας.
Αυτό επιτρέπει στην επίθεση GIFShell να εκμεταλλεύεται κρυφά δεδομένα αναμειγνύοντας το output των εντολών τους με τη νόμιμη επικοινωνία δικτύου του Microsoft Teams.
Ακόμη χειρότερα, καθώς το Microsoft Teams εκτελείται ως background process, δεν χρειάζεται καν να το ανοίξει ο χρήστης για να λάβει τις εντολές του εισβολέα για εκτέλεση.
Ο φάκελος αρχείων log του Microsoft Teams έχει επίσης προσπελαστεί από άλλα προγράμματα, συμπεριλαμβανομένων λογισμικών παρακολούθησης επιχειρήσεων, όπως το Veriato, και πιθανώς malware.
Η Microsoft αναγνώρισε την έρευνα, αλλά είπε ότι δεν θα διορθωθεί καθώς δεν παρακάμπτονταν κανένα όριο ασφαλείας.
«Για αυτήν την περίπτωση, το 72412, ενώ πρόκειται για σπουδαία έρευνα και η ομάδα μηχανικών θα προσπαθήσει να βελτιώσει αυτούς τους τομείς με την πάροδο του χρόνου, όλα αυτά είναι post exploitation και βασίζονται σε έναν στόχο
που έχει ήδη παραβιαστεί», είπε η Microsoft στον Rauch σε ένα email που κοινοποιήθηκε στο BleepingComputer.«Δεν φαίνεται να παρακάμπτεται κανένα όριο ασφαλείας. Η ομάδα θα εξετάσει το ζήτημα για πιθανές μελλοντικές αλλαγές σχεδιασμού, αλλά αυτό δεν θα παρακολουθείται από την ομάδα ασφαλείας.»
Κατάχρηση του Microsoft Teams για επιθέσεις phishing
Όπως είπαμε προηγουμένως, η επίθεση GIFShell απαιτεί την εγκατάσταση ενός executable που εκτελεί εντολές που λαμβάνονται μέσα στα GIF.
Για να βοηθήσει σε αυτό, ο Rauch ανακάλυψε ελαττώματα του Microsoft Teams που του επέτρεπαν να στέλνει κακόβουλα αρχεία σε χρήστες του Teams, αλλά να τα πλαστογραφεί να φαίνονται ως αβλαβείς εικόνες σε επιθέσεις phishing.
«Αυτή η έρευνα δείχνει πώς είναι δυνατόν να αποστέλλονται πολύ πειστικά συνημμένα phishing στα θύματα μέσω του Microsoft Teams, χωρίς κανέναν τρόπο για τον χρήστη να ελέγξει εκ των προτέρων εάν το συνδεδεμένο συνημμένο είναι κακόβουλο ή όχι», εξηγεί ο Rauch στην καταγραφή του σχετικά με τη μέθοδο phishing.
Όπως είπαμε προηγουμένως στη συζήτησή μας για το GIFShell, το Microsoft Teams επιτρέπει στους χρήστες του Microsoft Teams να στέλνουν μηνύματα σε χρήστες άλλων Tenants από προεπιλογή.
Ωστόσο, για να αποτρέψει τους εισβολείς από τη χρήση του Microsoft Teams σε επιθέσεις phishing malware, η Microsoft δεν επιτρέπει σε εξωτερικούς χρήστες να στέλνουν συνημμένα σε μέλη άλλου tenant.
Δείτε επίσης: Microsoft: Επείγουσα επιδιόρθωση για αποκλεισμένες συνδέσεις των Windows
Ενώ έπαιζε με τα συνημμένα στο Microsoft Teams, ο Rauch ανακάλυψε ότι όταν κάποιος στέλνει ένα αρχείο σε άλλο χρήστη στον ίδιο tenant, η Microsoft δημιουργεί έναν σύνδεσμο Sharepoint που είναι ενσωματωμένος σε ένα request JSON POST στο endpoint του Teams.
Αυτό το μήνυμα JSON, ωστόσο, μπορεί στη συνέχεια να τροποποιηθεί ώστε να περιλαμβάνει οποιονδήποτε σύνδεσμο download θέλει ένας εισβολέας, ακόμη και εξωτερικούς συνδέσμους. Ακόμη χειρότερα, όταν το JSON αποστέλλεται σε έναν χρήστη μέσω του endpoint συνομιλίας του Teams, μπορεί επίσης να χρησιμοποιηθεί για την αποστολή συνημμένων ως εξωτερικός χρήστης, παρακάμπτοντας τους περιορισμούς ασφαλείας του Microsoft Teams.
Για παράδειγμα, το JSON παρακάτω έχει τροποποιηθεί για να εμφανίζει ένα όνομα αρχείου Christmas_Party_Photo.jpeg, αλλά στην πραγματικότητα παρέχει ένα απομακρυσμένο εκτελέσιμο αρχείο Christmas_Party_Photo.jpeg………….exe.
Όταν το συνημμένο γίνεται render στο Teams, εμφανίζεται ως Christmas_Party_Photo.jpeg και όταν το επισημάνετε, θα συνεχίσει να εμφανίζει αυτό το όνομα, όπως φαίνεται παρακάτω.
Ωστόσο, όταν ο χρήστης κάνει κλικ στον σύνδεσμο, το συνημμένο θα κατεβάσει το εκτελέσιμο αρχείο από τον server του εισβολέα.
Εκτός από τη χρήση αυτής της spoofing phishing επίθεσης του Microsoft Teams για την αποστολή κακόβουλων αρχείων σε εξωτερικούς χρήστες, οι εισβολείς μπορούν επίσης να τροποποιήσουν το JSON ώστε να χρησιμοποιούν URI των Windows, όπως το ms-excel:, για αυτόματη εκκίνηση μιας εφαρμογής για την ανάκτηση ενός εγγράφου.
Ο Rauch λέει ότι αυτό θα επέτρεπε στους εισβολείς να εξαπατήσουν τους χρήστες για να συνδεθούν σε ένα remote network share, επιτρέποντας στους παράγοντες απειλών να κλέψουν NTLM hashes ή τοπικούς εισβολείς να εκτελέσουν μια επίθεση NTLM relay για να ανεβάσουν τα προνόμια.
«Αυτά τα επιτρεπόμενα, δυνητικά μη ασφαλή URI schemes, σε συνδυασμό με την έλλειψη των permissions enforcement και attachment spoofing vulnerabilities, μπορούν να επιτρέψουν ένα One Click RCE μέσω NTLM relay στο Microsoft Teams», εξηγεί ο Rauch στην έκθεσή του για την επίθεση.
Ο Rauch είπε στο BleepingComputer ότι αποκάλυψε τα ελαττώματα στη Microsoft τον Μάιο και τον Ιούνιο του 2022 και παρά το γεγονός ότι η Microsoft είπε ότι ήταν έγκυρα ζητήματα, αποφάσισαν να μην τα διορθώσουν αμέσως.
Όταν το BleepingComputer επικοινώνησε με τη Microsoft σχετικά με το γιατί δεν επιδιορθώθηκαν τα σφάλματα, δεν μας εξέπληξε η απάντησή τους σχετικά με την τεχνική επίθεσης GIFShell, καθώς απαιτεί η συσκευή να έχει ήδη παραβιαστεί με malware.
«Αυτό το είδος phishing είναι σημαντικό να το γνωρίζετε και, όπως πάντα, συνιστούμε στους χρήστες να ασκούν καλές συνήθειες στο διαδίκτυο και να προσέχουν όταν κάνουν κλικ σε συνδέσμους σε ιστοσελίδες, ανοίγουν άγνωστα αρχεία ή αποδέχονται μεταφορές αρχείων. Αξιολογήσαμε τις τεχνικές που αναφέρθηκαν από αυτόν τον ερευνητή και προσδιορίσαμε ότι οι δύο αναφερόμενες δεν φτάνουν στο όριο για την επείγουσα επιδιόρθωση ασφαλείας. Αναζητούμε συνεχώς νέους τρόπους για να αντισταθούμε καλύτερα στο phishing για να διασφαλίσουμε την ασφάλεια των πελατών και ενδέχεται να λάβουμε μέτρα σε μια μελλοντική έκδοση για να συμβάλουμε στον μετριασμό αυτής της τεχνικής.» – εκπρόσωπος της Microsoft.
Ωστόσο, ήμασταν έκπληκτοι που η Microsoft δεν σκέφτηκε την ικανότητα των εξωτερικών εισβολέων να παρακάμπτουν τους ελέγχους ασφαλείας και να στέλνουν συνημμένα σε άλλο tenant ως κάτι που πρέπει να διορθωθεί άμεσα.
Επιπλέον, ήταν επίσης έκπληξη η μη άμεση διόρθωση της δυνατότητας τροποποίησης των JSON attachment cards έτσι ώστε οι παραλήπτες του Microsoft Teams να εξαπατηθούν και να κατεβάσουν αρχεία από απομακρυσμένες διευθύνσεις URL.
Ωστόσο, η Microsoft άφησε την πόρτα ανοιχτή για την επίλυση αυτών των ζητημάτων, λέγοντας στο BleepingComputer ότι ενδέχεται να εξυπηρετηθούν σε μελλοντικές εκδόσεις.
«Ορισμένες ευπάθειες χαμηλότερης σοβαρότητας που δεν αποτελούν άμεσο κίνδυνο για τους πελάτες δεν έχουν προτεραιότητα για άμεση ενημέρωση ασφαλείας, αλλά θα ληφθούν υπόψη για την επόμενη έκδοση ή έκδοση των Windows», εξήγησε η Microsoft σε δήλωση στο BleepingComputer.
Πηγή: bleepingcomputer.com