Beheer

Security
teams

Nieuwe aanvalsmethode via Microsoft Teams ontdekt

Aanvallers verbinden meerdere kwetsbaarheden aan elkaar. 

© Microsoft
9 september 2022

Aanvallers verbinden meerdere kwetsbaarheden aan elkaar. 

Pentester Bobby Rauch heeft een nieuwe aanvalstechniek genaamd 'GIFShell' ontdekt waarmee cybercriminelen phishing-aanvallen kunnen uitvoeren via Microsoft Teams. Dat doen ze onder meer met behulp van GIF’s.

Bleepingcomputer deelt de aanvalswijze vrijdag op zijn website. Aanvallers verbinden bij de methode talloze kwetsbaarheden en fouten van Microsoft Teams aan elkaar. Via besmette GIF’s worden allerlei opdrachten gegeven binnen de Microsoft-infrastructuur, zo schrijft de website.  

Aangezien het ongeautoriseerd gegevens vrijgeven via de eigen servers van Microsoft wordt uitgevoerd, is de aanvalswijze moeilijk te detecteren voor beveiligingssoftware, die het vaak als legitiem verkeer van Microsoft Teams beschouwt, schrijft Bleeping Computer.

De methode werkt als volgt: externe gebruikers kunnen de beveiligingscontroles van Microsoft Teams omzeilen en berichten versturen. Ze laten Teams-gebruikers bestanden downloaden via een externe URL, in plaats van de gegenereerde SharePoint-link. De Microsoft Teams-bijlagen verschijnen als ‘onschadelijke bestanden’ maar zijn dat niet.

Commando's via GIF's

Vervolgens worden er kwaadaardige commando’s afgeleverd met normaal ogende GIF’s, die door Teams niet gescand worden op byte-inhoud. De Teams-berichten worden opgeslagen in een logbestand dat zich lokaal op de computer van het slachtoffer bevindt en toegankelijk is voor gebruikers met minder rechten.   

Het belangrijkste onderdeel van de aanvalsmethode heet 'GIFShell', waarmee een aanvaller wordt toegestaan om een omgekeerde shell te maken die kwaadaardige opdrachten levert via base64-gecodeerde GIF's in Teams. De GIF’s worden vervolgens opgehaald door de eigen infrastructuur van Microsoft. Het is daarbij wel nodig dat het slachtoffer wordt verleid om een 'stager' op hun apparaat te downloaden, dat continu de Microsoft Teams-logboeken scant.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.