Una nueva cadena de ataques llamada GIFShell fue descubierta por el consultor de seguridad cibernética Bobby Rauch, la cual utiliza una variedad de fallas y vulnerabilidades en Microsoft Teams para nuevos ataques de phishing y ejecutar comandos de forma encubierta para robar datos usando GIF.
Este malware malicioso permite que un atacante cree un shell inverso que envía comandos maliciosos a través de GIF codificados en base64 en Teams. Esto extrae la salida usando GIF recuperados por la propia infraestructura de Microsoft.
“Dos vulnerabilidades adicionales descubiertas en Microsoft Teams, la falta de aplicación de permisos y la falsificación de archivos adjuntos, permiten que el generador de GIFShell se descarte y ejecute de manera convincente en la máquina de la víctima, completando la cadena de ataque desde el compromiso de la víctima hasta las comunicaciones encubiertas”, explicó Raunch.
Para crear este shell inverso, el atacante primero debe convencer a un usuario para que instale un controlador malicioso que ejecute comandos y cargue la salida del comando a través de una URL GIF en un enlace web de Microsoft Teams.
Las 7 fallas y vulnerabilidades en Microsoft Teams
-
Omite controles de seguridad de Microsoft Teams y permite a los usuarios externos enviar archivos adjuntos a los usuarios de Microsoft Teams.
-
Modificar los archivos adjuntos enviados para que los usuarios descarguen archivos desde una URL externa en lugar del enlace de SharePoint generado.
-
Falsificar los archivos adjuntos de los equipos de Microsoft para que aparezcan como archivos inofensivos, pero descargue un ejecutable o documento malicioso.
-
Esquemas de URI inseguros que permite el robo de hash NTLM de SMB o ataques de retransmisión NTLM.
-
Microsoft admite el envío de GIF codificados en HTML base64, pero no analiza el contenido de bytes de esos. Esto permite enviar comandos maliciosos dentro de un GIF de aspecto normal.
-
Microsoft almacena los mensajes de Teams en un archivo de registro analizable, ubicado localmente en la máquina de la víctima y al que puede acceder un usuario con pocos privilegios.
-
Los servidores de Microsoft recuperan GIF de servidores remotos, lo que permite la filtración de datos a través de nombres de archivos GIF.
Microsoft no repara los defectos de inmediato
Fue en junio de 2022, según Rauch, cuando informó los defectos a Microsoft, que los reconoció como problemas legítimos pero decidió no abordarlos de inmediato.
Según el consultor, las fallas permanecen sin reparar desde entonces. Esto significa que los atacantes aún tienen la oportunidad de realizar ataques GIFShell a los usuarios.
“A menudo, las empresas y los equipos de ingeniería toman decisiones de diseño basadas en el 'riesgo asumido', por lo que una vulnerabilidad de bajo impacto potencial se deja sin parchear o una función de seguridad se desactiva de forma predeterminada, para lograr algún objetivo comercial”, argumentó Raunch.
Sin embargo, Microsoft ha dejado abierta la posibilidad de corregir estos problemas, indicando a BleepingComputer que podrían solucionarse en versiones posteriores.
Microsoft aclaró en un comunicado que este tipo de vulnerabilidades de menor gravedad, no representan un peligro inmediato para los usuarios y no tienen prioridad para una actualización de seguridad inmediata. Pero se considerará para la próxima versión o lanzamiento de Windows.
Sigue a Heraldo Binario en Google News, dale CLIC AQUÍ.