Post #24

Тут Хакер выложил крутую статью про цепочку уязвимостей в Microsoft Teams. Этот вектор атаки называется GIFShell. Как можно догадаться базируется он на обработке GIF-файлов, и может привести к полноценному выполнению команд у жертвы. А что именно за баги? Если кратко, то: - В Teams вложенные файлы могут подгружать содержимое из любого внешнего источника, откуда - не контролируется. - GIF-файлы можно отравлять в кодировке HTML Base64, что внутри них - не проверяется. Удобно для передачи вредоносный команд. - Teams позволяет обращаться на любой внешний ресурс, по любому протоколу, включая SMB. Таким образом можно легко инициировать отправку NLTM-хэша жертвы к себе на сервер. - Teams позволяет подменить расширение файла с разрешенных на любые другие, и отправить исполняемый вредоносный файл. При этом интерфейс сам замаскирует его под разрешенный, показав не то расширение. - Teams не имеет какой-то защиты от CSRF и позволяет автоматизировать процесс рассылки вредоносов. - Teams позволяет отправлять ссылки-кнопки, для автоматизации действий. Без проверок, что это за действия и куда ведут ссылки. Тем самым первоначальная атака социальной инженерией удобно маскируется этой кнопкой. - Teams хранит свои логи в общедоступной папке, не требующей для чтения прав администратора, что позволяет уже запущенному вредоносу получать оттуда инструкции. Отличные условия для атаки, при минимальной социальной инженерии в начале! Майкрософт предупредили об уязвимостях в мае-июне 2022 года, каков же был их ответ? «Некоторые уязвимости невысокой степени серьезности, которые не представляют непосредственной угрозы для пользователей, не являются приоритетными для немедленного обновления безопасности, но возможность их исправления будет рассмотрена в следующей версии ПО» Решения нет и может не будет. Будьте осторожны с файлами и ссылками в Teams и надейтесь на средства защиты!