网络安全顾问揭露了 Teams 允许通过 GIF 创建反向 shell 的缺陷
更新时间:2022-09-12 10:06:04 浏览次数:167+次Microsoft Teams 中存在可能被攻击者使用的“不安全”设计元素或漏洞。根据分享这一发现的网络安全顾问 Bobby Rauch 的说法,它可以使用 Teams 消息中发送的恶意 GIF 来执行。 (Via BleepingComputer)
“复杂的威胁参与者可以利用这种独特的 C2 基础设施来避免被 EDR 和其他网络监控工具检测到。尤其是在安全的网络环境中,Microsoft Teams 可能是少数允许的、受信任的主机和程序之一,这种攻击链可能特别具有破坏性,”Raunch 解释说。 “在 Microsoft Teams 中发现的另外两个漏洞,即缺乏权限执行和附件欺骗,允许 GIFShell stager 令人信服地在受害者的机器上被删除和执行,从而完成从受害者妥协到秘密通信的攻击链。”
该报告于 2022 年 5 月和 6 月首次与 Microsoft 共享。它涉及 Teams 版本 1.5.00.11163 及更早版本,Raunch 表示,这些漏洞在最新的 Teams 版本中仍未修补,让攻击者有机会执行 GIFShell 攻击链他们。然而,根据这位顾问的说法,尽管被描述为“伟大的研究”并且公司允许他“在博客上讨论/讨论这个案例和/或公开展示你的发现”,但这些发现未能达到微软的“服务标准”。
“通常,公司和工程团队根据‘假定风险’做出设计决策,即默认情况下未修补潜在的低影响漏洞或默认禁用安全功能,以实现某些业务目标,”Raunch 表达了他的担忧。 “我相信这项研究证明了一个例子,产品工程团队做出的一系列设计决策和“假定风险”可以链接在一起,形成一个更有害的攻击链,以及比产品设计师想象的风险更高的利用是可能的。”
Raunch 在他的报告中列举了 Microsoft Teams 的七个缺陷和漏洞。 Raunch 强调的最值得注意的一点是,Microsoft Teams 消息中包含的 HTML base64 编码 GIF 的字节内容不会被扫描以查找恶意内容。他还解释说,由于纯文本 Teams 日志文件读取不需要管理员或提升权限,因此将安装的恶意 stager 可以自由运行和扫描日志文件。 Rauch 表示,通过这些漏洞,安全控制绕过、数据泄露、命令执行和网络钓鱼攻击都是可能的。
当被问及这些错误时,微软告诉 BleepingComputer,Raunch 从公司收到的回复几乎相同。
“这种类型的网络钓鱼很重要,我们一如既往地建议用户养成良好的在线计算习惯,包括在单击网页链接、打开未知文件或接受文件传输时要小心谨慎。
“我们已经评估了该研究人员报告的技术,并确定上述两种技术不符合紧急安全修复的标准。我们一直在寻找新的方法来更好地抵御网络钓鱼,以帮助确保客户安全,并可能在未来的版本中采取行动来帮助缓解这种技术。”
另一方面,虽然微软认为 Raunch 的发现是“一些不会对客户构成直接风险的较低严重性漏洞”的一部分,但“将在 Windows 的下一个版本或发行版中考虑”。