Overslaan en naar de inhoud gaan

Nieuwe aanvalsmethode via Microsoft Teams ontdekt

Pentester Bobby Rauch heeft een nieuwe aanvalstechniek genaamd 'GIFShell' ontdekt waarmee cybercriminelen phishing-aanvallen kunnen uitvoeren via Microsoft Teams. Dat doen ze onder meer met behulp van GIF’s.
Teams-app op ARM-Mac
© Microsoft
Microsoft

Bleepingcomputer deelt de aanvalswijze vrijdag op zijn website. Aanvallers verbinden bij de methode talloze kwetsbaarheden en fouten van Microsoft Teams aan elkaar. Via besmette GIF’s worden allerlei opdrachten gegeven binnen de Microsoft-infrastructuur, zo schrijft de website.

Aangezien het ongeautoriseerd gegevens vrijgeven via de eigen servers van Microsoft wordt uitgevoerd, is de aanvalswijze moeilijk te detecteren voor beveiligingssoftware, die het vaak als legitiem verkeer van Microsoft Teams beschouwt, schrijft Bleeping Computer.

De methode werkt als volgt: externe gebruikers kunnen de beveiligingscontroles van Microsoft Teams omzeilen en berichten versturen. Ze laten Teams-gebruikers bestanden downloaden via een externe URL, in plaats van de gegenereerde SharePoint-link. De Microsoft Teams-bijlagen verschijnen als ‘onschadelijke bestanden’ maar zijn dat niet.

Commando's via GIF's

Vervolgens worden er kwaadaardige commando’s afgeleverd met normaal ogende GIF’s, die door Teams niet gescand worden op byte-inhoud. De Teams-berichten worden opgeslagen in een logbestand dat zich lokaal op de computer van het slachtoffer bevindt en toegankelijk is voor gebruikers met minder rechten.   

Het belangrijkste onderdeel van de aanvalsmethode heet 'GIFShell', waarmee een aanvaller wordt toegestaan om een omgekeerde shell te maken die kwaadaardige opdrachten levert via base64-gecodeerde GIF's in Teams. De GIF’s worden vervolgens opgehaald door de eigen infrastructuur van Microsoft. Het is daarbij wel nodig dat het slachtoffer wordt verleid om een 'stager' op hun apparaat te downloaden, dat continu de Microsoft Teams-logboeken scant.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in