Afweer tegen Teams-hack via GIF-bestanden

Microsoft is verantwoord geïnformeerd door de security-onderzoeker die GIFShell heeft uitgedokterd. Het bedrijf dat de door corona veelgebruikte Teams-app maakt, is in mei en juni dit jaar ingelicht. Daarbij hebben de ontwikkelaars van Microsoft erkend dat het gaat om valide issues in Teams, maar ook opgemerkt dat er voor daadwerkelijk misbruik eerst al wel malware aanwezig moet zijn op het doelsysteem.

Voorbereiden

Het gaat daarbij om een zogeheten stager, die voorbereidend werk verricht. Deze malware kan als gespoofed attachment worden bezorgd bij nietsvermoedende eindgebruikers, legt onderzoeker Bobby Rauch uit in een andere blogpost. Eenmaal binnengekomen zorgt de stager voor de uitvoering van commando's die een aanvaller dan via GIF-bestanden kan sturen naar slachtoffers. Daarbij lijkt dat dataverkeer dan vanaf de cloudservers van Microsoft te komen, waardoor de kans klein is dat securityscanners aanslaan.

Beheerders kunnen de Teams-omgevingen van hun organisaties beschermen door kritische aandacht te besteden aan de toegangsmogelijkheden voor externe organisaties. Standaard staat Teams open voor verbindingen vanuit andere Teams-gebruikende organisaties. Dit valt echter af te sluiten, of beter nog: te beperken door middel van een whitelist. Hoe dit precies te doen, wordt uitgelegd door tech-auteur en Microsoft 365-kenner Tony Redmond in zijn artikel op Practical365.com.

Whitelist-aanpak

Deze afweer helpt tegen GIFShell en eventuele andere exploits die soortgelijke aanvalsroutes 'van buitenaf' volgen. Redmond erkent dat deze whitelist-aanpak ook wat praktische nadelen heeft, met name voor Teams-eindgebruikers die dan niet zomaar met externe mensen kunnen communiceren via de Microsoft-app. Hij redeneert echter dat dat een kleine prijs is om te betalen voor betere beveiliging en grip op externe communicatie. Mogelijk dat Microsoft nog wel met een fix komt, want de 'afwijzing' van GIFShell betrof de noodzaak voor een noodpatch.