Nieuwe aanvalsmethode via Microsoft Teams ontdekt

Bleepingcomputer deelt de aanvalswijze vrijdag op zijn website. Aanvallers verbinden bij de methode talloze kwetsbaarheden en fouten van Microsoft Teams aan elkaar. Via besmette GIF’s worden allerlei opdrachten gegeven binnen de Microsoft-infrastructuur, zo schrijft de website.

Aangezien het ongeautoriseerd gegevens vrijgeven via de eigen servers van Microsoft wordt uitgevoerd, is de aanvalswijze moeilijk te detecteren voor beveiligingssoftware, die het vaak als legitiem verkeer van Microsoft Teams beschouwt, schrijft Bleeping Computer.

De methode werkt als volgt: externe gebruikers kunnen de beveiligingscontroles van Microsoft Teams omzeilen en berichten versturen. Ze laten Teams-gebruikers bestanden downloaden via een externe URL, in plaats van de gegenereerde SharePoint-link. De Microsoft Teams-bijlagen verschijnen als ‘onschadelijke bestanden’ maar zijn dat niet.

Commando's via GIF's

Vervolgens worden er kwaadaardige commando’s afgeleverd met normaal ogende GIF’s, die door Teams niet gescand worden op byte-inhoud. De Teams-berichten worden opgeslagen in een logbestand dat zich lokaal op de computer van het slachtoffer bevindt en toegankelijk is voor gebruikers met minder rechten.   

Het belangrijkste onderdeel van de aanvalsmethode heet 'GIFShell', waarmee een aanvaller wordt toegestaan om een omgekeerde shell te maken die kwaadaardige opdrachten levert via base64-gecodeerde GIF's in Teams. De GIF’s worden vervolgens opgehaald door de eigen infrastructuur van Microsoft. Het is daarbij wel nodig dat het slachtoffer wordt verleid om een 'stager' op hun apparaat te downloaden, dat continu de Microsoft Teams-logboeken scant.