Stjälar GIF dina data på Microsoft Teams?

Hur attackkedjan fungerar

Den nya attackkedjan fungerar genom att lura användare att installera en skadlig stager, som sedan skannar, extraherar och lagrar alla meddelanden som tas emot i Microsoft Teams loggmapp. När de har installerats kan angripare skapa sin egen hyresgäst och därför kontakta Microsoft Teams-användare utanför sin organisation, så att de kan skicka skadliga filer och extrahera information via modifierade GIF-filer.

De modifierade GIF-filerna skickas selektivt till riktade användare och inkluderar kommandon för att hämta information från en enhet. Informationen skickas sedan till Microsoft Teams logs-mapp där den övervakas och extraheras automatiskt av den skadliga scenen, vilket ger angripare tillgång till alla kodade kommandon, inklusive användarinloggningsinformation.

Även om Microsoft inte tillåter externa användare att skicka bilagor till andra hyresgäster, visade Rauchs forskning att bilder och Sharepoint-länken inbäddad i en JSON POST kan modifieras för att inkludera vilken extern länk som helst som en angripare vill ha, inklusive Windows URIS, som automatiskt kan startas ett program för att hämta ett dokument, kringgå Microsoft Teams säkerhet

Bör Microsoft Team-användare vara oroliga?

Det tycker inte alla. Även om Microsoft svarade på resultaten, avböjde de också att vidta några åtgärder omedelbart.

“Vi har utvärderat teknikerna som rapporterats av den här forskaren och har fastställt att de två nämnda inte uppfyller kraven för en brådskande säkerhetsåtgärd. Vi tittar ständigt på nya sätt att bättre motstå nätfiske för att säkerställa kundernas säkerhet och kan vidta åtgärder i en framtida version för att lindra denna teknik.” – en talesperson för Microsoft.

Rauch menade dock att ett svar borde vara mer omedelbart, med hänvisning till sårbarheter som det faktum att Microsoft Teams körs som en bakgrundsprocess, vilket innebär att angripare kommer att kunna utföra kommandon utan att programmet ens behöver öppnas.