Les utilisateurs de Microsoft Teams sont actuellement en mesure de partager des fichiers GIF pour décrire plus précisément leurs émotions à leurs collègues. Cependant, les experts ont averti que les cybercriminels peuvent également les utiliser pour exécuter des commandes malveillantes et voler des données sensibles sans être repérés par un antivirus. (s’ouvre dans un nouvel onglet) outils.
Le consultant en cybersécurité et pentester Bobby Rauch a découvert quelques vulnérabilités dans la plate-forme de visioconférence qui, lorsqu’elles sont enchaînées, peuvent entraîner une exfiltration de données et l’exécution de code malveillant.
C’est également tout un effort, car l’attaquant doit faire un certain nombre de choses, notamment demander à la victime de télécharger et d’installer d’abord un outil de transfert malveillant capable d’exécuter des commandes et de télécharger la sortie de commande via des URL GIF vers des crochets Web Microsoft Teams. Le stager analysera Microsoft Teams (s’ouvre dans un nouvel onglet) journaux où, prétendument, tous les messages reçus sont enregistrés et lisibles par tous les groupes d’utilisateurs Windows, quel que soit leur niveau de privilège.
Utilisation du stager
Après avoir configuré l’outil de transfert, l’attaquant doit créer un nouveau locataire Teams et contacter d’autres membres Teams en dehors de l’organisation. Selon le chercheur, ce n’est pas si difficile, étant donné que Microsoft autorise la communication externe par défaut. Ensuite, en utilisant le script Python du chercheur appelé GIFShell, l’attaquant peut envoyer un fichier .GIF malveillant capable d’exécuter des commandes sur le terminal cible.
Le message et le fichier .GIF se retrouveront dans le dossier des journaux, sous l’œil vigilant du stager. Cet outil extraira ensuite les commandes du .GIF et les exécutera sur l’appareil. Le GIFShell PoC peut ensuite utiliser la sortie et la convertir en texte base64, et l’utiliser comme nom de fichier pour un .GIF distant, intégré dans une carte d’enquête Microsoft Teams. L’outil de transfert soumet ensuite cette carte au crochet Web public Microsoft Teams de l’attaquant. Ensuite, les serveurs de Microsoft se reconnecteront à l’URL du serveur de l’attaquant pour récupérer le .GIF. GIFShell recevra alors la demande et décodera le nom du fichier, donnant à l’auteur de la menace une visibilité claire de la sortie de la commande exécutée sur le terminal cible. (s’ouvre dans un nouvel onglet).
Le chercheur a également ajouté que rien n’empêchait les attaquants d’envoyer autant de GIF qu’ils le souhaitaient, chacun avec différentes commandes malveillantes. De plus, étant donné que le trafic provient apparemment des propres serveurs de Microsoft, il sera considéré comme légitime par les outils de cybersécurité et non signalé.
Lorsqu’il a été informé des résultats, Microsoft a déclaré qu’il ne les traiterait pas, car ils ne contournaient pas nécessairement les limites de sécurité.
« Pour ce cas, 72412, bien qu’il s’agisse d’une excellente recherche et que l’équipe d’ingénierie s’efforcera d’améliorer ces domaines au fil du temps, ils sont tous post-exploitation et reposent sur une cible déjà compromise », a apparemment déclaré Microsoft à Rauch.
« Aucune limite de sécurité ne semble être contournée. L’équipe produit examinera le problème pour d’éventuels futurs changements de conception, mais cela ne sera pas suivi par l’équipe de sécurité. »
Via : BleepingComputer (s’ouvre dans un nouvel onglet)