0

  • Votre panier est vide.

  • LOGIN

Vulnérabilité Microsoft Teams : l’attaque GIFShell

Certains articles de veille peuvent faire l'objet de traduction automatique.

Une nouvelle menace est apparue qui exploite une vulnérabilité dans Microsoft Teams. Cette attaque, connue sous le nom d’attaque GIFShell, permet aux pirates d’exécuter des commandes et de voler des données à l’aide de GIF. Ce billet de blog se penche sur les détails de cette vulnérabilité, ses implications et la réponse de Microsoft.

Qu’est-ce que l’attaque GIFShell ?

L’attaque GIFShell est une nouvelle technique qui permet aux acteurs de la menace d’abuser de Microsoft Teams pour des attaques de phishing et d’exécuter secrètement des commandes pour voler des données à l’aide de GIF. L’attaque exploite une série de vulnérabilités et de failles dans Microsoft Teams, en utilisant l’infrastructure légitime de la plate-forme pour fournir des fichiers et des commandes malveillants, et en exfiltrant des données via des GIF. L’exfiltration des données se fait via les propres serveurs de Microsoft, ce qui rend le trafic plus difficile à détecter par les logiciels de sécurité qui le considèrent comme le trafic légitime de Microsoft Team.

Comment fonctionne l’attaque GIFShell ?

Le composant principal de l’attaque GIFShell est un shell inversé qui fournit des commandes malveillantes via des GIF encodés en base64 dans Teams et exfiltre la sortie via des GIF récupérés par la propre infrastructure de Microsoft. L’attaquant convainc d’abord un utilisateur d’installer un outil de transfert malveillant qui exécute des commandes et télécharge la sortie de commande via une URL GIF vers un crochet Web Microsoft Teams. L’outil de transfert analyse en continu les journaux Microsoft Teams à la recherche de messages avec un GIF, extrait les commandes encodées en base64 et les exécute sur l’appareil. La sortie de la commande exécutée est ensuite convertie en texte base64 et utilisée comme nom de fichier pour un GIF distant intégré dans une carte d’enquête Microsoft Teams que l’outil de transfert soumet au webhook public Microsoft Teams de l’attaquant.

Implications de l’attaque GIFShell

L’attaque GIFShell a de sérieuses implications pour la cybersécurité. Comme l’attaque utilise les serveurs de Microsoft pour l’exfiltration de données, elle peut contourner la détection par un logiciel de sécurité. De plus, comme Microsoft Teams s’exécute en arrière-plan, il n’a même pas besoin d’être ouvert par l’utilisateur pour recevoir les commandes de l’attaquant à exécuter. L’attaque peut également être utilisée pour le phishing, les attaquants pouvant envoyer des fichiers malveillants aux utilisateurs de Teams mais les usurper pour qu’ils ressemblent à des images inoffensives.

Réponse de Microsoft à l’attaque GIFShell

Microsoft a reconnu les recherches sur l’attaque GIFShell, mais a déclaré qu’elle ne serait pas corrigée car aucune limite de sécurité n’a été contournée. Ils ont noté que même si la recherche était précieuse, les problèmes identifiés étaient post-exploitation et reposaient sur une cible déjà compromise. Cependant, Microsoft a laissé la porte ouverte à la résolution de ces problèmes dans les futures versions de leur logiciel.

Comme toujours, il est conseillé aux utilisateurs de mettre en pratique de bonnes habitudes informatiques en ligne, y compris faire preuve de prudence lorsque vous cliquez sur des liens à des pages Web, en ouvrant des fichiers inconnus ou en acceptant des transferts de fichiers.

Voir aussi :

juin 20, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)