Microsoft Teams 中存在可能被攻击者使用的“不安全”设计元素或漏洞。根据分享这一发现的网络安全顾问 Bobby Rauch 的说法，它可以使用 Teams 消息中发送的恶意 GIF 来执行。 （Via BleepingComputer）

https://www.linkedin.com/in/bobby-rauch/

“复杂的威胁参与者可以利用这种独特的 C2 基础设施来避免被 EDR 和其他网络监控工具检测到。尤其是在安全的网络环境中，Microsoft Teams 可能是少数允许的、受信任的主机和程序之一，这种攻击链可能特别具有破坏性，”Raunch 解释说。 “在 Microsoft Teams 中发现的另外两个漏洞，即缺乏权限执行和附件欺骗，允许 GIFShell stager 令人信服地在受害者的机器上被删除和执行，从而完成从受害者妥协到秘密通信的攻击链。”

该报告于 2022 年 5 月和 6 月首次与 Microsoft 共享。它涉及 Teams 版本 1.5.00.11163 及更早版本，Raunch 表示，这些漏洞在最新的 Teams 版本中仍未修补，让攻击者有机会执行 GIFShell 攻击链他们。然而，根据这位顾问的说法，尽管被描述为“伟大的研究”并且公司允许他“在博客上讨论/讨论这个案例和/或公开展示你的发现”，但这些发现未能达到微软的“服务标准”。

https://medium.com/@bobbyrsec/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7

“通常，公司和工程团队根据‘假定风险’做出设计决策，即默认情况下未修补潜在的低影响漏洞或默认禁用安全功能，以实现某些业务目标，”Raunch 表达了他的担忧。 “我相信这项研究证明了一个例子，产品工程团队做出的一系列设计决策和“假定风险”可以链接在一起，形成一个更有害的攻击链，以及比产品设计师想象的风险更高的利用是可能的。”

Raunch 在他的报告中列举了 Microsoft Teams 的七个缺陷和漏洞。 Raunch 强调的最值得注意的一点是，Microsoft Teams 消息中包含的 HTML base64 编码 GIF 的字节内容不会被扫描以查找恶意内容。他还解释说，由于纯文本 Teams 日志文件读取不需要管理员或提升权限，因此将安装的恶意 stager 可以自由运行和扫描日志文件。 Rauch 表示，通过这些漏洞，安全控制绕过、数据泄露、命令执行和网络钓鱼攻击都是可能的。

当被问及这些错误时，微软告诉 BleepingComputer，Raunch 从公司收到的回复几乎相同。

“这种类型的网络钓鱼很重要，我们一如既往地建议用户养成良好的在线计算习惯，包括在单击网页链接、打开未知文件或接受文件传输时要小心谨慎。

“我们已经评估了该研究人员报告的技术，并确定上述两种技术不符合紧急安全修复的标准。我们一直在寻找新的方法来更好地抵御网络钓鱼，以帮助确保客户安全，并可能在未来的版本中采取行动来帮助缓解这种技术。”

另一方面，虽然微软认为 Raunch 的发现是“一些不会对客户构成直接风险的较低严重性漏洞”的一部分，但“将在 Windows 的下一个版本或发行版中考虑”。