t04ndv
Moderator
-
02/02/2021
-
18
-
85 bài viết
Tấn công GIFShell tạo ra reverseshell sử dụng các tệp GIFs của Microsoft Teams
'GIFShell' - một kỹ thuật tấn công mới cho phép những kẻ tấn công có thể xâu chuỗi nhiều lỗ hổng và lỗ hổng trong Microsoft Teams lại với nhau để lạm dụng cơ sở hạ tầng hợp pháp của Microsoft nhằm cung cấp các tệp, lệnh độc hại và thực hiện lấy dữ liệu thông qua GIF.
Kỹ thuật tấn công sử dụng nhiều lỗi và lỗ hổng an ninh của Microsoft Teams:
Kẻ tấn công sử dụng GIFShell Python script để gửi tin nhắn tới người dùng Teams có chứa GIF được tạo đặc biệt, ảnh này được sửa để bao gồm lệnh thực thi trên máy của mục tiêu. Khi stager phát hiện có tệp GIF trong tin nhắn nó sẽ trích xuất các lệnh được mã hóa base64 và thực thi chúng. GIFShell PoC sau đó sẽ nhận kết quả của lệnh đã thực thi và mã hóa base64 chúng. Văn bản base64 này sau đó được sử dụng làm tên tệp cho ảnh GIF từ xa được nhúng trong Microsoft Teams Survey Card mà máy nạn nhân gửi đến webhook công khai của kẻ tấn công.
Khi Microsoft teams hiển thị thẻ flash cho người dùng, máy chủ sẽ kết nối trở lại với URL máy chủ của tin tặc để truy xuất GIF. Máy chủ GIFShell sẽ nhận yêu cầu và giải mã tên tệp cho phép kẻ tấn công xem kết quả đầu ra của lệnh chạy trên thiết bị của nạn nhân.
Ví dụ: tệp GIF được truy xuất có tên 'dGhlIHVzZXIgaXM6IA0KYm9iYnlyYXVjaDYyNzRcYm9iYnlyYXVJa0K.gif' sẽ giải mã thành đầu ra từ lệnh 'whoami' được thực thi trên thiết bị tồn tại lỗ hổng:
Vì các yêu cầu này được thực hiện bởi trang web của Microsoft urlp.asm.skype.com - được sử dụng cho liên lạc Microsoft Teams thông thường, lưu lượng truy cập sẽ được coi là hợp pháp và không bị phần mềm bảo mật phát hiện. Vì vậy mà các cuộc tấn công GIFShell bí mật lấy cắp dữ liệu bằng cách trộn kết quả đầu ra của các lệnh của chúng với giao tiếp mạng Microsoft Teams hợp pháp.
Hơn nữa Teams chạy trong nền, thậm chí không cần người dùng mở để nhận lệnh của tin tặc nhằm thực thi và thư mục nhật ký Microsoft Teams cũng đã được tìm thấy bởi các chương trình khác như các phần mềm độc hại.
Rauch đã tiết lộ các lỗ hổng cho Microsoft vào tháng 6 và và được hãng công nhận nhưng họ quyết định không sửa chúng vì để khai thác được, thiết bị của nạn nhân phải bị xâm nhập bằng phần mềm độc hại trước đó.
Microsoft giải thích rằng: “Một số lỗ hổng có mức độ nghiêm trọng thấp hơn không gây rủi ro ngay lập tức cho khách hàng sẽ không được ưu tiên cập nhật an ninh ngay lập tức, nhưng sẽ được xem xét cho phiên bản hoặc bản phát hành tiếp theo của Windows”.
Theo: BleepingComputer
Kỹ thuật tấn công sử dụng nhiều lỗi và lỗ hổng an ninh của Microsoft Teams:
- Bỏ qua kiểm soát đối với tệp đính kèm mà người dùng Microsoft Teams nhận được từ người dùng bên ngoài
- Sửa đổi các tệp đính kèm đã gửi để yêu cầu người dùng tải xuống tệp từ một URL bên ngoài
- Giả mạo các tệp đính kèm của Microsoft Teams để tải xuống tệp hoặc tài liệu độc hại
- Các lược đồ URL không an toàn dẫn đến đánh cắp mã băm SMB NTLM hoặc tấn công NTLM Relay
- Không quét nội dung byte của tệp GIF mã hóa HTML base64
- Microsoft lưu trữ tin nhắn của Teams trong tệp nhật ký nằm cục bộ trên máy của nạn nhân và người dùng đặc quyền thấp cũng truy cập được
- Máy chủ của Microsoft lấy ảnh GIF từ các máy chủ từ xa, cho phép lọc dữ liệu thông qua tên tệp GIF
Kẻ tấn công sử dụng GIFShell Python script để gửi tin nhắn tới người dùng Teams có chứa GIF được tạo đặc biệt, ảnh này được sửa để bao gồm lệnh thực thi trên máy của mục tiêu. Khi stager phát hiện có tệp GIF trong tin nhắn nó sẽ trích xuất các lệnh được mã hóa base64 và thực thi chúng. GIFShell PoC sau đó sẽ nhận kết quả của lệnh đã thực thi và mã hóa base64 chúng. Văn bản base64 này sau đó được sử dụng làm tên tệp cho ảnh GIF từ xa được nhúng trong Microsoft Teams Survey Card mà máy nạn nhân gửi đến webhook công khai của kẻ tấn công.
Khi Microsoft teams hiển thị thẻ flash cho người dùng, máy chủ sẽ kết nối trở lại với URL máy chủ của tin tặc để truy xuất GIF. Máy chủ GIFShell sẽ nhận yêu cầu và giải mã tên tệp cho phép kẻ tấn công xem kết quả đầu ra của lệnh chạy trên thiết bị của nạn nhân.
Vì các yêu cầu này được thực hiện bởi trang web của Microsoft urlp.asm.skype.com - được sử dụng cho liên lạc Microsoft Teams thông thường, lưu lượng truy cập sẽ được coi là hợp pháp và không bị phần mềm bảo mật phát hiện. Vì vậy mà các cuộc tấn công GIFShell bí mật lấy cắp dữ liệu bằng cách trộn kết quả đầu ra của các lệnh của chúng với giao tiếp mạng Microsoft Teams hợp pháp.
Rauch đã tiết lộ các lỗ hổng cho Microsoft vào tháng 6 và và được hãng công nhận nhưng họ quyết định không sửa chúng vì để khai thác được, thiết bị của nạn nhân phải bị xâm nhập bằng phần mềm độc hại trước đó.
Microsoft giải thích rằng: “Một số lỗ hổng có mức độ nghiêm trọng thấp hơn không gây rủi ro ngay lập tức cho khách hàng sẽ không được ưu tiên cập nhật an ninh ngay lập tức, nhưng sẽ được xem xét cho phiên bản hoặc bản phát hành tiếp theo của Windows”.
Theo: BleepingComputer