Une nouvelle menace est apparue, qui exploite une vulnérabilité dans Microsoft Teams. Cette attaque, connue sous le nom d'attaque GIFShell, permet aux acteurs de la menace d'exécuter des commandes et de voler des données à l'aide de GIF. Cet article de blog approfondit les détails de cette vulnérabilité, ses implications et la réponse de Microsoft.
Qu'est-ce que l'attaque GIFShell ?
L'attaque GIFShell est une nouvelle technique qui permet aux acteurs de la menace d'abuser de Microsoft Teams pour mener des attaques de phishing et exécuter secrètement des commandes pour voler des données à l'aide de GIF. L'attaque exploite une série de vulnérabilités et de failles dans Microsoft Teams, en utilisant l'infrastructure légitime de la plateforme pour diffuser des fichiers et des commandes malveillants, et exfiltrer des données via des GIF. L'exfiltration des données se fait par le biais des propres serveurs de Microsoft, ce qui rend le trafic plus difficile à détecter par les logiciels de sécurité qui le considèrent comme du trafic légitime de Microsoft Team.
Comment fonctionne l'attaque GIFShell ?
Le composant principal de l'attaque GIFShell est un shell inversé qui délivre des commandes malveillantes via des GIF codés en base64 dans Teams, et exfiltre la sortie via des GIF récupérés par la propre infrastructure de Microsoft. L'attaquant convainc d'abord un utilisateur d'installer un stager malveillant qui exécute les commandes et télécharge la sortie des commandes via une URL GIF vers un crochet web de Microsoft Teams. Le stager scrute en permanence les journaux Microsoft Teams à la recherche de messages contenant un GIF, extrait les commandes encodées en base64 et les exécute sur l'appareil. La sortie de la commande exécutée est ensuite convertie en texte base64 et utilisée comme nom de fichier pour un GIF distant intégré dans une carte d'enquête Microsoft Teams que le stager soumet au crochet web Microsoft Teams public de l'attaquant.
Implications de l'attaque GIFShell
L'attaque GIFShell a de sérieuses implications pour la cybersécurité. Comme l'attaque utilise les serveurs de Microsoft pour l'exfiltration des données, elle peut contourner la détection par les logiciels de sécurité. De plus, comme Microsoft Teams s'exécute en arrière-plan, il n'a même pas besoin d'être ouvert par l'utilisateur pour recevoir les commandes de l'attaquant à exécuter. L'attaque peut également être utilisée pour l'hameçonnage, les attaquants étant capables d'envoyer des fichiers malveillants aux utilisateurs de Teams mais de les usurper pour qu'ils ressemblent à des images inoffensives.
Réponse de Microsoft à l'attaque GIFShell
Microsoft a reconnu les recherches sur l'attaque GIFShell mais a déclaré qu'elle ne serait pas corrigée car aucune limite de sécurité n'a été contournée. L'entreprise a fait remarquer que, bien que les recherches soient utiles, les problèmes identifiés étaient liés à la post-exploitation et dépendaient d'une cible déjà compromise. Cependant, Microsoft a laissé la porte ouverte à la résolution de ces problèmes dans les futures versions de son logiciel.
Comme toujours, il est conseillé aux utilisateurs d'adopter de bonnes habitudes informatiques en ligne, notamment en faisant preuve de prudence lorsqu'ils cliquent sur des liens vers des pages Web, ouvrent des fichiers inconnus ou acceptent des transferts de fichiers.
