L’attaque GIFShell crée un shell inverse à l’aide des GIF de Microsoft Teams (bleepingcomputer.com)


Une faille de sécurité importante serait -elle présente sur le client Teams ? je vous laisse lire l’article et vous faire une idée

Bonne lecture

Laurent TERUIN

 

Article Original :
GIFShell attack creates reverse shell using Microsoft Teams GIFs (bleepingcomputer.com)

Table des matières

1    – a reverse shell via GIFs    2

2    Utilisation des équipes Microsoft pour des attaques de phishing    4

3    Microsoft ne corrige pas immédiatement les bogues    7

 

Une nouvelle technique d’attaque appelée « GIFShell » permet aux acteurs de la menace d’abuser de Microsoft Teams pour mener des attaques de phishing inédites et exécuter secrètement des commandes pour voler des données en utilisant … GIFs.

Le nouveau scénario d’attaque, partagé en exclusivité avec BleepingComputer, illustre la façon dont les attaquants peuvent enchaîner de nombreuses vulnérabilités et failles de Microsoft Teams pour abuser de l’infrastructure légitime de Microsoft afin de livrer des fichiers malveillants, des commandes et d’exécuter l’exfiltration de données via des GIFs.

Comme l’exfiltration de données se fait par le biais des propres serveurs de Microsoft, le trafic sera plus difficile à détecter par les logiciels de sécurité qui le considèrent comme un trafic légitime de Microsoft Team.

Dans l’ensemble, la technique d’attaque utilise une variété de failles et de vulnérabilités de Microsoft Teams :

 

  • Contourner les contrôles de sécurité de Microsoft Teams permet aux utilisateurs externes d’envoyer des pièces jointes aux utilisateurs de Microsoft Teams.
  • Modifier les pièces jointes envoyées pour que les utilisateurs téléchargent des fichiers à partir d’une URL externe plutôt que du lien SharePoint généré.
  • Falsifier les pièces jointes de Microsoft Teams pour qu’elles apparaissent comme des fichiers inoffensifs mais téléchargent un exécutable ou un document malveillant.
  • Schémas d’URI non sécurisés pour permettre le vol du hachage NTLM de SMB ou les attaques par relais NTLM.
  • Microsoft prend en charge l’envoi de GIFs HTML codés en base64, mais n’analyse pas le contenu en octets de ces GIFs. Cela permet de délivrer des commandes malveillantes dans un GIF d’apparence normale.
  • Microsoft stocke les messages Teams dans un fichier journal analysable, situé localement sur la machine de la victime et accessible par un utilisateur à faible privilège.
  • Les serveurs Microsoft récupèrent les GIFs des serveurs distants, ce qui permet l’exfiltration de données via les noms de fichiers GIF.
  1. – a reverse shell via GIFs

    La nouvelle chaîne d’attaque a été découverte par le consultant en cybersécurité et pentester Bobby Rauch, qui a trouvé de nombreuses vulnérabilités, ou failles, dans Microsoft Teams qui peuvent être enchaînées ensemble pour l’exécution de commandes, l’exfiltration de données, le contournement des contrôles de sécurité et les attaques de phishing.

    Le principal composant de cette attaque est appelé « GIFShell », qui permet à un attaquant de créer un reverse shell qui délivre des commandes malveillantes via des GIF codés en base64 dans Teams, et exfiltre le résultat via des GIF récupérés par la propre infrastructure de Microsoft.

    Pour créer ce reverse shell, l’attaquant doit d’abord convaincre un utilisateur d’installer un stager malveillant qui exécute les commandes et télécharge la sortie des commandes via une url GIF vers un web hook Microsoft Teams. Cependant, comme nous savons que les attaques de phishing fonctionnent bien pour infecter les dispositifs, Rauch a mis au point une nouvelle attaque de phishing dans Microsoft Teams pour y parvenir, que nous décrivons dans la section suivante.

    GIFShell fonctionne en incitant l’utilisateur à charger un exécutable malveillant appelé  » stager  » sur son appareil, qui analyse en permanence les journaux de Microsoft Teams situés à l’adresse $HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb.leveldb\*.log.

     

    Microsoft Teams log folder
    Source: BleepingComputer

    Tous les messages reçus sont enregistrés dans ces journaux et sont lisibles par tous les groupes d’utilisateurs Windows, ce qui signifie que tout logiciel malveillant présent sur l’appareil peut y accéder.

    Une fois que la mise en scène est en place, un acteur de la menace créerait son propre Tenant Microsoft Teams et contacterait d’autres utilisateurs Microsoft Teams en dehors de son organisation. Les attaquants peuvent facilement y parvenir car Microsoft autorise la communication externe par défaut dans Microsoft Teams.

    Pour lancer l’attaque, l’acteur de la menace peut utiliser le script Python GIFShell de Rauch pour envoyer un message à un utilisateur de Microsoft Teams contenant un GIF spécialement conçu. Cette image GIF légitime a été modifiée pour inclure des commandes à exécuter sur la machine de la cible.

    Lorsque la cible reçoit le message, le message et le GIF sont stockés dans les journaux de Microsoft Team, que le stager malveillant surveille.

    Lorsque le stager détecte un message contenant un GIF, il extrait les commandes codées en base64 et les exécute sur l’appareil. Le PoC GIFShell prend ensuite la sortie de la commande exécutée et la convertit en texte base64.

    Ce texte base64 est utilisé comme nom de fichier pour un GIF distant intégré dans une carte de sondage Microsoft Teams que le stager soumet au webhook Microsoft Teams public de l’attaquant.

    Lorsque Microsoft Teams rend les cartes flash pour l’utilisateur, les serveurs de Microsoft se reconnectent à l’URL du serveur de l’attaquant pour récupérer le GIF, qui est nommé à l’aide de la sortie codée en base64 de la commande exécutée.

    Le serveur GIFShell exécuté sur le serveur de l’attaquant reçoit cette demande et décode automatiquement le nom du fichier, ce qui permet aux attaquants de voir le résultat de la commande exécutée sur l’appareil de la victime, comme indiqué ci-dessous.

     

    Par exemple, un fichier GIF récupéré nommé ‘dGhlIHVzZXIgaXM6IA0KYm9iYnlyYXVjaDYyNzRcYm9iYnlyYXVJa0K.gif’ sera décodé et correspondra au résultat de la commande ‘whoami’ exécutée sur le périphérique infecté :

    the user is:

    bobbyrauch6274\bobbyrauIkBáë

    Les acteurs de la menace peuvent continuer à utiliser le serveur GIFShell pour envoyer d’autres GIF, avec d’autres commandes intégrées à exécuter, et continuer à recevoir le résultat lorsque Microsoft tente de récupérer les GIF.

    Comme ces demandes sont faites par le site Web de Microsoft, urlp.asm.skype.com, utilisé pour les communications habituelles de Microsoft Teams, le trafic sera considéré comme légitime et ne sera pas détecté par les logiciels de sécurité.

     

    Cela permet à l’attaque GIFShell d’exfiltrer secrètement des données en mélangeant les résultats de ses commandes avec les communications légitimes du réseau Microsoft Teams.

    Pire encore, comme Microsoft Teams s’exécute en tant que processus d’arrière-plan, il n’a même pas besoin d’être ouvert par l’utilisateur pour recevoir les commandes de l’attaquant à exécuter.

     

    Le dossier des journaux de Microsoft Teams a également été consulté par d’autres programmes, notamment des logiciels de surveillance d’entreprise, tels que Veriato, et potentiellement des logiciels malveillants.

    Microsoft a reconnu la recherche mais a déclaré qu’elle ne serait pas corrigée car aucune limite de sécurité n’a été contournée.

    « Pour ce cas, 72412, bien qu’il s’agisse d’une excellente recherche et que l’équipe d’ingénieurs s’efforcera d’améliorer ces domaines au fil du temps, il s’agit d’une post-exploitation qui repose sur une cible déjà compromise« , a déclaré Microsoft à Rauch dans un courriel partagé avec BleepingComputer.

    « Aucune limite de sécurité ne semble avoir été contournée. L’équipe produit examinera le problème pour d’éventuels changements de conception futurs, mais cela ne sera pas suivi par l’équipe de sécurité. »

  2. Utilisation des équipes Microsoft pour des attaques de phishing

    Comme nous l’avons dit précédemment, l’attaque GIFShell nécessite l’installation d’un exécutable qui exécute les commandes reçues dans les GIF.

    Pour y parvenir, Rauch a découvert des failles dans Microsoft Teams qui lui ont permis d’envoyer des fichiers malveillants aux utilisateurs de Teams, mais de les faire passer pour des images inoffensives dans les attaques de phishing.

    « Cette recherche démontre qu’il est possible d’envoyer des pièces jointes de phishing très convaincantes à des victimes par le biais de Microsoft Teams, sans qu’un utilisateur puisse vérifier si la pièce jointe liée est malveillante ou non« , explique Rauch dans son article sur la méthode de phishing.

    Comme nous l’avons dit précédemment dans notre discussion sur GIFShell, Microsoft Teams permet par défaut aux utilisateurs de Microsoft Teams d’envoyer des messages aux utilisateurs d’autres Tenant.

    Toutefois, pour empêcher les attaquants d’utiliser Microsoft Teams dans le cadre d’attaques de phishing par logiciels malveillants, Microsoft ne permet pas aux utilisateurs externes d’envoyer des pièces jointes aux membres d’un autre tenant.

    En jouant avec les pièces jointes dans Microsoft Teams, Rauch a découvert que lorsqu’une personne envoie un fichier à un autre utilisateur du même tenant, Microsoft génère un lien Sharepoint qui est intégré dans une requête JSON POST vers le point de terminaison Teams.

    Ce message JSON, cependant, peut ensuite être modifié pour inclure n’importe quel lien de téléchargement souhaité par un attaquant, même des liens externes. Pire encore, lorsque le JSON est envoyé à un utilisateur via le point de terminaison de conversation de Teams, il peut également être utilisé pour envoyer des pièces jointes en tant qu’utilisateur externe, contournant ainsi les restrictions de sécurité de Microsoft Teams.

    Par exemple, le JSON ci-dessous a été modifié pour afficher un nom de fichier de Christmas_Party_Photo.jpeg mais délivre en fait un exécutable distant Christmas_Party_Photo.jpeg………….exe.

    Microsoft Teams JSON to spoof an attachment
    Source: Bobby Rauch

    Lorsque la pièce jointe est rendue dans Teams, elle est affichée sous le nom de Christmas_Party_Photo.jpeg, et lorsque vous la mettez en surbrillance, elle continue à afficher ce nom, comme indiqué ci-dessous.

    Spoofing a JPEG file
    Source: Bobby Rauch

    Cependant, lorsque l’utilisateur clique sur le lien, la pièce jointe télécharge l’exécutable depuis le serveur de l’attaquant.

    Outre l’utilisation de cette attaque de phishing par usurpation de Microsoft Teams pour envoyer des fichiers malveillants à des utilisateurs externes, les attaquants peuvent également modifier le JSON pour utiliser des URI Windows, tels que ms-excel :, afin de lancer automatiquement une application pour récupérer un document.

    Selon M. Rauch, cela permettrait aux attaquants d’inciter les utilisateurs à se connecter à un partage réseau distant, permettant ainsi aux acteurs de la menace de voler les hachages NTLM, ou aux attaquants locaux de réaliser une attaque par relais NTLM pour élever leurs privilèges.

    « Ces schémas d’URI autorisés et potentiellement dangereux, combinés à l’absence d’application des permissions et aux vulnérabilités d’usurpation de pièces jointes, peuvent permettre un RCE en un clic via le relais NTLM dans Microsoft Teams », explique Rauch dans son rapport sur l’attaque par usurpation.

  3. Microsoft ne corrige pas immédiatement les bogues

    Rauch a déclaré à BleepingComputer qu’il avait divulgué les failles à Microsoft en mai et juin 2022 et que, bien que Microsoft ait déclaré qu’il s’agissait de problèmes valables, elle avait décidé de ne pas les corriger immédiatement.

    Lorsque BleepingComputer a contacté Microsoft pour savoir pourquoi les bogues n’étaient pas corrigés, nous n’avons pas été surpris par leur réponse concernant la technique d’attaque GIFShell, car elle nécessite que l’appareil soit déjà compromis par un logiciel malveillant.

    « 
    Il est important d’être conscient de ce type de hameçonnage et, comme toujours, nous recommandons aux utilisateurs d’adopter de bonnes habitudes informatiques en ligne, notamment de faire preuve de prudence lorsqu’ils cliquent sur des liens vers des pages Web, ouvrent des fichiers inconnus ou acceptent des transferts de fichiers.

    Nous avons évalué les techniques rapportées par ce chercheur et avons déterminé que les deux mentionnées ne répondent pas aux critères d’une correction de sécurité urgente. Nous sommes constamment à la recherche de nouvelles façons de mieux résister au phishing afin de garantir la sécurité de nos clients et nous pourrions prendre des mesures dans une prochaine version pour atténuer cette technique. » – a déclaré un porte-parole de Microsoft.. 

    Cependant, nous avons été surpris que Microsoft ne considère pas la capacité des attaquants externes à contourner les contrôles de sécurité et à envoyer des pièces jointes à un autre tenant comme quelque chose qui ne doit pas être corrigé immédiatement.

    De plus, le fait de ne pas corriger immédiatement la possibilité de modifier les cartes de pièces jointes JSON de sorte que les destinataires de Microsoft Teams puissent être incités à télécharger des fichiers à partir d’URL distantes était également surprenant.

    Cependant, Microsoft a laissé la porte ouverte à la résolution de ces problèmes, en disant à BleepingComputer qu’ils pourraient être corrigés dans les prochaines versions.

    « Certaines vulnérabilités de moindre gravité qui ne posent pas de risque immédiat pour les clients ne sont pas prioritaires pour une mise à jour de sécurité immédiate, mais seront prises en compte pour la prochaine version de Windows », a expliqué Microsoft dans une déclaration à BleepingComputer.

     

     

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s