‘GIFShell’ adlı yeni bir saldırı tekniği, tehdit aktörlerinin yeni kimlik avı saldırıları için Microsoft Teams’i kötüye kullanmasına ve … GIF’leri kullanarak verileri çalmak için gizlice komutlar yürütmesine olanak tanır.
Yalnızca BleepingComputer ile paylaşılan yeni saldırı senaryosu, saldırganların çok sayıda Microsoft Teams güvenlik açığını ve kusurunu bir araya getirerek meşru Microsoft altyapısını kötüye kullanarak kötü niyetli dosyalar, komutlar ve GIF’ler aracılığıyla veri sızdırma işlemlerini nasıl gerçekleştirebileceğini gösteriyor.
Veri hırsızlığı Microsoft’un kendi sunucuları üzerinden yapıldığından, trafiği meşru Microsoft Team’in trafiği olarak gören güvenlik yazılımı tarafından tespit edilmesi daha zor olacaktır.
Genel olarak, saldırı tekniği çeşitli Microsoft Teams kusurlarını ve güvenlik açıklarını kullanır:
- Microsoft Teams güvenlik denetimlerini atlamak, harici kullanıcıların Microsoft Teams kullanıcılarına ek göndermesine olanak tanır.
- Kullanıcıların oluşturulan SharePoint bağlantısı yerine harici bir URL’den dosya indirmesini sağlamak için gönderilen ekleri değiştirin.
- Sahte Microsoft, ekleri zararsız dosyalar olarak görünecek, ancak kötü amaçlı bir yürütülebilir dosya veya belge indirecek şekilde ekipler.
- SMB NTLM karma hırsızlığına veya NTLM Geçiş saldırılarına izin vermek için güvenli olmayan URI şemaları.
- Microsoft, HTML base64 kodlu GIF’lerin gönderilmesini destekler, ancak bu GIF’lerin bayt içeriğini taramaz. Bu, kötü amaçlı komutların normal görünümlü bir GIF içinde teslim edilmesini sağlar.
- Microsoft, Teams mesajlarını, kurbanın makinesinde yerel olarak bulunan ve düşük ayrıcalıklı bir kullanıcı tarafından erişilebilen, ayrıştırılabilir bir günlük dosyasında saklar.
- Microsoft sunucuları, GIF dosya adları aracılığıyla veri hırsızlığına izin vererek uzak sunuculardan GIF’leri alır.
GIFShell – GIF’ler aracılığıyla ters bir kabuk
Yeni saldırı zinciri siber güvenlik danışmanı ve pentester tarafından keşfedildi Bobby RauchMicrosoft Teams’de komut yürütme, veri hırsızlığı, güvenlik denetimi atlamaları ve kimlik avı saldırıları için birbirine zincirlenebilecek çok sayıda güvenlik açığı veya kusur bulmuştur.
Bu saldırının ana bileşenine ‘GIFKabukSaldırganın Teams’deki base64 kodlu GIF’ler aracılığıyla kötü amaçlı komutlar ileten ve Microsoft’un kendi altyapısı tarafından alınan GIF’ler aracılığıyla çıktıyı sızdıran bir ters kabuk oluşturmasına olanak tanır.
Saldırganın bu ters kabuğu oluşturmak için önce kullanıcıyı bir kötü niyetli sahneleyici komutları yürütür ve komut çıktısını bir GIF url’si aracılığıyla bir Microsoft Teams web kancasına yükler. Ancak, bildiğimiz gibi, kimlik avı saldırıları cihazlara bulaşmada iyi sonuç veriyor, Rauch, Microsoft Teams’de buna yardımcı olmak için bir sonraki bölümde açıklayacağımız yeni bir kimlik avı saldırısı geliştirdi.
GIFShell, bir kullanıcıyı, aygıtında bulunan Microsoft Teams günlüklerini sürekli olarak tarayacak olan “hazırlayıcı” adlı kötü amaçlı bir yürütülebilir dosyayı yüklemesi için kandırarak çalışır. $HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb.leveldb\*.log.
Alınan tüm mesajlar bu günlüklere kaydedilir ve tüm Windows kullanıcı grupları tarafından okunabilir, yani cihazdaki herhangi bir kötü amaçlı yazılım bunlara erişebilir.
Sahneleyici yerleştirildikten sonra, bir tehdit aktörü kendi Microsoft Teams kiracısını oluşturur ve kuruluşlarının dışındaki diğer Microsoft Teams kullanıcılarıyla iletişim kurar. Saldırganlar bunu şu şekilde kolayca başarabilir: Microsoft, varsayılan olarak harici iletişime izin verir Microsoft Teams’de.
Saldırıyı başlatmak için tehdit aktörü Rauch’s’u kullanabilir. GIFShell Python komut dosyası Microsoft Teams kullanıcısına özel hazırlanmış bir GIF içeren bir ileti göndermek için. Bu meşru GIF görüntüsü, bir hedefin makinesinde yürütülecek komutları içerecek şekilde değiştirildi.
Hedef mesajı aldığında, mesaj ve GIF, kötü niyetli hazırlayıcının izlediği Microsoft Team’in günlüklerinde saklanır.
Stager, GIF içeren bir mesaj algıladığında, base64 kodlu komutları çıkarır ve bunları cihazda yürütür. GIFShell PoC daha sonra yürütülen komutun çıktısını alacak ve onu base64 metnine dönüştürecektir.
Bu base64 metni, sahneleyicinin saldırganın genel Microsoft Teams web kancasına gönderdiği bir Microsoft Teams Anket Kartına katıştırılmış uzak bir GIF’in dosya adı olarak kullanılır.
Microsoft Teams kullanıcı için flash kartlar oluştururken, Microsoft sunucuları, yürütülen komutun base64 kodlu çıktısı kullanılarak adlandırılan GIF’i almak için saldırganın sunucu URL’sine geri bağlanacaktır.
Saldırganın sunucusunda çalışan GIFShell sunucusu bu isteği alacak ve aşağıda gösterildiği gibi saldırganların kurbanın cihazında çalıştırılan komutun çıktısını görmelerine izin vererek dosya adını otomatik olarak çözecektir.
Örneğin, ‘dGhlIHVzZXIgaXM6IA0KYm9iYnlyYXVjaDYyNzRcYm9iYnlyYXVJa0K.gif’ adlı alınan bir GIF dosyasının kodu, virüslü cihazda yürütülen ‘whoami’ komutunun çıktısına dönüştürülür:
the user is:
bobbyrauch6274\bobbyrauIkBáë
Tehdit aktörleri, daha fazla GIF göndermek için GIFShell sunucusunu kullanmaya devam edebilir, yürütülecek daha fazla gömülü komutla ve Microsoft GIF’leri almaya çalıştığında çıktıyı almaya devam edebilir.
Bu talepler Microsoft web sitesi tarafından yapıldığından, urlp.asm.skype.comnormal Microsoft Teams iletişimi için kullanıldığında, trafik meşru olarak görülecek ve güvenlik yazılımı tarafından algılanmayacaktır.
Bu, GIFShell saldırısının komutlarının çıktısını meşru Microsoft Teams ağ iletişimi ile karıştırarak verileri gizlice sızdırmasına olanak tanır.
Daha da kötüsü, Microsoft Teams bir arka plan işlemi olarak çalıştığından, saldırganın yürütme komutlarını almak için kullanıcı tarafından açılmasına bile gerek yoktur.
Microsoft Teams günlükleri klasörüne Veriato gibi iş izleme yazılımları da dahil olmak üzere diğer programların da eriştiği bulunmuştur. potansiyel olarak kötü amaçlı yazılım.
Microsoft araştırmayı kabul etti, ancak hiçbir güvenlik sınırı atlanmadığı için düzeltilmeyeceğini söyledi.
Microsoft, Rauch’a BleepingComputer ile paylaşılan bir e-postada, “Bu durum için, 72412, bu harika bir araştırma ve mühendislik ekibi bu alanları zaman içinde geliştirmek için çaba gösterecek olsa da, bunların tümü istismar sonrası ve zaten tehlikeye atılmış bir hedefe dayanıyor.”
“Hiçbir güvenlik sınırı atlanmış gibi görünmüyor. Ürün ekibi, gelecekteki olası tasarım değişiklikleri için sorunu gözden geçirecek, ancak bu, güvenlik ekibi tarafından izlenmeyecek.”
Kimlik avı saldırıları için Microsoft ekiplerini kötüye kullanma
Daha önce de söylediğimiz gibi, GIFShell saldırısı, GIF’ler içinde alınan komutları yürüten bir yürütülebilir dosyanın yüklenmesini gerektirir.
Buna yardımcı olmak için Rauch, Teams kullanıcılarına kötü amaçlı dosyalar göndermesine izin veren ancak kimlik avı saldırılarında zararsız görüntüler olarak görünmelerini sağlayan Microsoft Teams kusurlarını keşfetti.
Rauch, “Bu araştırma, Microsoft Teams aracılığıyla kurbanlara son derece ikna edici kimlik avı ekleri göndermenin, bir kullanıcının bağlantılı ekin kötü amaçlı olup olmadığını önceden taramasına gerek kalmadan nasıl mümkün olduğunu gösteriyor” diye açıklıyor. onun yazısı kimlik avı yöntemi hakkında.
GIFShell hakkındaki tartışmamızda daha önce söylediğimiz gibi, Microsoft Teams, Microsoft Teams kullanıcılarının varsayılan olarak diğer Kiracılardaki kullanıcılara mesaj göndermesine izin verir.
Ancak, saldırganların kötü amaçlı yazılım kimlik avı saldırılarında Microsoft Teams kullanmasını önlemek için, Microsoft izin vermiyor ekleri başka bir kiracının üyelerine göndermek için harici kullanıcılar.
Microsoft Teams’de eklerle oynarken Rauch, birisi aynı kiracıdaki başka bir kullanıcıya dosya gönderdiğinde, Microsoft’un Teams uç noktasına bir JSON POST isteğine katıştırılmış bir Sharepoint bağlantısı oluşturduğunu keşfetti.
Ancak bu JSON mesajı, saldırganın istediği herhangi bir indirme bağlantısını, hatta harici bağlantıları içerecek şekilde değiştirilebilir. Daha da kötüsü, JSON, Teams’in konuşma uç noktası aracılığıyla bir kullanıcıya gönderildiğinde, Microsoft Teams’in güvenlik kısıtlamalarını atlayarak ekleri harici bir kullanıcı olarak göndermek için de kullanılabilir.
Örneğin, aşağıdaki JSON, dosya adını gösterecek şekilde değiştirildi: Christmas_Party_Photo.jpeg ama aslında bir uzaktan kumanda sunar Christmas_Party_Photo.jpeg………….exe yürütülebilir.
Ek Teams’de işlendiğinde, şu şekilde görüntülenir: Christmas_Party_Photo.jpegve vurgulandığında, aşağıda gösterildiği gibi o adı göstermeye devam edecektir.
Ancak, kullanıcı bağlantıya tıkladığında, ek yürütülebilir dosyayı saldırganın sunucusundan indirecektir.
Saldırganlar, harici kullanıcılara kötü amaçlı dosyalar göndermek için bu Microsoft Teams sızdırma kimlik avı saldırısını kullanmaya ek olarak, JSON’u aşağıdakiler gibi Windows URI’lerini kullanacak şekilde değiştirebilir: ms-excel:, için bir belgeyi almak için bir uygulamayı otomatik olarak başlatın.
Rauch, bunun saldırganların kullanıcıları kandırarak uzak bir ağ paylaşımına bağlanmasına izin vereceğini ve tehdit aktörlerinin NTLM karmalarını veya yerel saldırganları çalmasına izin vereceğini söylüyor. NTLM geçiş saldırısı gerçekleştir ayrıcalıkları yükseltmek için.
Rauch, sızdırma saldırısıyla ilgili raporunda, “Bu izin verilen, potansiyel olarak güvenli olmayan URI şemaları, izinlerin uygulanmaması ve ek sahtekarlığı güvenlik açıklarıyla birleştiğinde, Microsoft Teams’de NTLM geçişi aracılığıyla Tek Tıkla RCE’ye izin verebilir,” diye açıklıyor Rauch.
Microsoft, hataları hemen düzeltmiyor
Rauch, BleepingComputer’a 2022 yılının Mayıs ve Haziran aylarında kusurları Microsoft’a açıkladığını ve Microsoft’un bunların geçerli sorunlar olduğunu söylemesine rağmen, bunları hemen düzeltmemeye karar verdiklerini söyledi.
BleepingComputer, hataların neden düzeltilmediği konusunda Microsoft ile iletişime geçtiğinde, GIFShell saldırı tekniğiyle ilgili yanıtlarına şaşırmadık, çünkü cihazın zaten kötü amaçlı yazılımla güvenliğinin ihlal edilmiş olmasını gerektiriyor.
“Bu tür kimlik avının farkında olmak önemlidir ve her zaman olduğu gibi, kullanıcıların web sayfalarına bağlantılara tıklarken, bilinmeyen dosyaları açarken veya dosya aktarımlarını kabul ederken dikkatli olmaları da dahil olmak üzere, çevrimiçi olarak iyi bilgi işlem alışkanlıkları edinmelerini öneririz.
Bu araştırmacı tarafından bildirilen teknikleri değerlendirdik ve bahsedilen ikisinin acil bir güvenlik düzeltmesi için çıtayı karşılamadığını belirledik. Müşteri güvenliğini sağlamaya yardımcı olmak için kimlik avına karşı daha iyi direnmenin yeni yollarını sürekli olarak arıyoruz ve bu tekniğin hafifletilmesine yardımcı olmak için gelecekteki bir sürümde harekete geçebiliriz.” – bir Microsoft sözcüsü.
Ancak, Microsoft’un harici saldırganların güvenlik denetimlerini atlama ve ekleri başka bir kiracıya gönderme yeteneğini hemen düzeltilmesi gereken bir şey olarak görmemesine şaşırdık.
Ayrıca, Microsoft Teams alıcılarının uzak URL’lerden dosya indirmeleri için kandırılabilmeleri için JSON ek kartlarını değiştirme yeteneğinin hemen düzeltilmemesi de şaşırtıcıydı.
Ancak Microsoft, BleepingComputer’a gelecekteki sürümlerde hizmet verilebileceğini söyleyerek bu sorunları çözmek için kapıyı açık bıraktı.
Microsoft, BleepingComputer’a yaptığı açıklamada, “Müşteriler için anında risk oluşturmayan bazı düşük önem dereceli güvenlik açıkları, acil bir güvenlik güncellemesi için önceliklendirilmez, ancak Windows’un bir sonraki sürümü veya sürümü için dikkate alınacaktır,” dedi.