Bir siber güvenlik danışmanı ve pentester olan Bobby Rauch, kısa süre önce tehdit aktörlerinin GIFshell olarak bilinen yeni bir saldırı tekniği kullanarak kimlik avı saldırıları gerçekleştirerek Microsoft Teams’i kötüye kullandığını keşfetti. Verileri çalmak amacıyla gizli komutları yürütmek için GIF’leri kullanma.
Bu yeni yöntemin kullanılmasıyla saldırganlar, Microsoft Teams’deki çeşitli zayıflıklardan yararlanan karmaşık saldırılar oluşturabilir. Tehdit aktörleri, aşağıdakileri sağlamak ve gerçekleştirmek için yasal Microsoft altyapısını kötüye kullanır:-
- Kötü amaçlı dosyalar
- Yasadışı komutlar
- GIF’ler aracılığıyla verileri sızdırın
Veriler, Microsoft’un kendisi tarafından kontrol edilen sunucular aracılığıyla sızdırılıyor. Bunun birincil nedeni, güvenlik yazılımının bu trafiği algılama olasılığının düşük olduğundan emin olmaktır.
GIFKabuk
Güvenlik endişeleri nedeniyle, hiçbir harici kullanıcının varsayılan olarak başka bir yolcudaki kullanıcılarla herhangi bir dosya paylaşmasına izin verilmez. Bu özelliğin amacı, harici kullanıcıların Microsoft Teams aracılığıyla başka bir kuruluştaki bir kullanıcıya kötü amaçlı ekler göndermesini engellemektir.
Bir kuruluştaki bir kullanıcı başka bir kuruluşta bulunan başka bir kullanıcıya herhangi bir dosya göndermeye çalıştığında, ek yüklemek için herhangi bir ataç seçeneği bulunmaz.
Bu saldırı, en önemli parçalardan biri olan GIFShell adlı bir bileşene dayanmaktadır. Sonuç olarak, bir saldırgan tarafından, base64 ile kodlanmış GIF dosyalarını kullanarak Teams içinde kötü amaçlı komutlar vermek için bir ters kabuk oluşturulabilir.
GIFShell’in çalışmasını sağlamak için, “hazırlayıcı” olarak bilinen kötü niyetli bir yürütülebilir dosya, kandırılarak bir kullanıcının cihazını yüklemesi için kandırılarak ele geçirilir. Aşağıdaki konumlarda bulunan Microsoft Teams günlükleri bu yürütülebilir dosya tarafından sürekli olarak taranacaktır:-
$HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb.leveldb\*.log.
Sahneleyicinin yüklenmesinin ardından bir tehdit aktörü, saldırıyı başlatmak için bir Microsoft Teams kiracısı oluşturur. Bundan sonra, Microsoft Teams kullanan kuruluşlarının dışındaki kullanıcılarla iletişim kurarlar.
Microsoft Teams varsayılan olarak harici iletişime izin verir, böylece saldırganlar ekibinize erişmek için bu özellikten kolayca yararlanabilir.
Stager, GIF içeren bir mesajdan base64 kodlu komutları çıkarabilir ve böyle bir mesaj algıladığında bunları bir cihazda çalıştırabilir. Bundan sonra, yürütülen komutun çıktısı GIFShell PoC tarafından base64 metnine dönüştürülecektir.
Bu saldırının bir sonucu, meşru Microsoft Teams ağ trafiğinin GIFShell saldırısının çıktısıyla karıştırılması ve bu da verilerin gizlice sızdırılmasına izin vermesidir.
Araştırmaya yanıt olarak Microsoft, araştırmayı kabul etti, ancak hiçbir güvenlik sınırının ihlal edilmediğini, bu nedenle düzeltilmeyeceğini söyledi.
Saldırıyı okumak için ön koşullar
Aşağıda, saldırıyı okumak için tüm ön koşullardan bahsettik: –
- Saldırganın sisteminde GIFShell Python betiği çalıştırılmalıdır.
- Kurbanın sisteminde GIFShell Powershell hazırlayıcısını yürütmek gerekir.
- Gerekli iki Microsoft Azure Kuruluşu veya Kiracı.
- Saldırganın kuruluşunda veya kiracısında en az iki kullanıcı ve kurbanın kuruluşunda en az bir kullanıcı bulunmalıdır. Bu alıştırmanın amacı, Microsoft Teams’in çalışma sürümünü test etmektir.
- Kişisel kullanım için iki Microsoft Teams kullanıcısı gerekli. Burada, Microsoft Teams Home Edition yalnızca test amacıyla kullanılır.
- Teams kanalındaki kullanılabilir bir web kancasına herkes erişebilir.
- Beğendiğiniz herhangi bir GIF’i seçebilirsiniz.
- Bu IP adresi herkese açıktır ve web’den gelen istekler için bir dinleyici olarak çalıştırılabilir.
Hafifletmeler
Aşağıda, önerilen tüm azaltıcı önlemlerden bahsettik: –
- Kullanıcılara bilinmeyen kaynaklardan gelen eklere tıklamamanın önemi konusunda eğitim verilmelidir.
- Office 365 için Microsoft Defender, Office 365’te Drive-By indirme saldırılarını önlemeye yardımcı olabilecek bir Güvenli Ekler ilkesi sağlar.
- NTLM tamamen devre dışı bırakılmalı veya SMB imzalama etkinleştirilmelidir.
- NTLM saldırılarından kaçınmak için, karmaşık bir parola politikası uyguladığınızdan emin olmalısınız.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap