GIFShell – Saldırganların Microsoft Teams GIF'lerini Kullanarak Veri Çalmasına İzin Veren Yeni Saldırı Yöntemi

Bir siber güvenlik danışmanı ve pentester olan Bobby Rauch, kısa bir süre önce tehdit aktörlerinin GIF kabuğu olarak bilinen yeni bir saldırı tekniğini kullanarak kimlik avı saldırıları gerçekleştirerek Microsoft Teams'i kötüye kullandığını keşfetti. Veri çalmak amacıyla gizli komutları yürütmek için GIF'leri kullanılabiliyor.

Bu yeni yöntemin kullanılmasıyla, saldırganlar Microsoft Teams'deki çeşitli zayıflıklardan yararlanan karmaşık saldırılar oluşturabilir. Tehdit aktörleri bunu, aşağıdakileri sunmak ve gerçekleştirmek için yasal Microsoft altyapısını kötüye kullanmak için yaparlar:

• Kötü amaçlı dosyalar
• Yasak komutlar
• GIF'ler aracılığıyla veri sızdırma

Veriler, Microsoft'un kendisi tarafından kontrol edilen sunucular aracılığıyla sızdırılıyor. Bunun birincil nedeni, güvenlik yazılımının bu trafiği algılama olasılığının düşük olduğundan emin olmaktır.

GIFShell

Güvenlik endişeleri nedeniyle, hiçbir harici kullanıcının varsayılan olarak başka bir yolcudaki kullanıcılarla dosya paylaşmasına izin verilmez. Bu özelliğin amacı, dış kullanıcıların Microsoft Teams aracılığıyla başka bir kuruluştaki bir kullanıcıya kötü amaçlı ekler göndermesini önlemektir.

Bir kuruluştaki bir kullanıcı başka bir kuruluşta bulunan başka bir kullanıcıya herhangi bir dosya göndermeye çalıştığında ek yüklemek için bir ataç seçeneği kullanılamayacaktır.

Bu saldırı, en önemli parçalardan biri olan GIFShell adlı bir bileşene dayanmaktadır. Sonuç olarak, saldırgan tarafından base64 kodlu GIF dosyalarını kullanarak Ekipler içinde kötü amaçlı komutlar sunmak için tersine (reverse) shell oluşturulabilir.

GIFShell'in çalışmasını sağlamak için, "stager" olarak bilinen kötü amaçlı bir yürütülebilir dosya, bir kullanıcının cihazını yüklemeleri için kandırarak devralmak için kandırılır. Aşağıdaki konumlarda bulunan Microsoft Teams günlükleri bu yürütülebilir dosya tarafından sürekli olarak taranacaktır:

• $HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.ındexeddb.leveldb\*.log.

Sahneleyicinin yüklenmesinin ardından, bir tehdit aktörü saldırıyı başlatmak için bir Microsoft Teams kiracısı oluşturur. Bundan sonra, Microsoft Teams kullanan kuruluşlarının dışındaki kullanıcılarla iletişim kurarlar.

Microsoft Teams varsayılan olarak dış iletişime izin verir, böylece saldırganlar ekibinize erişmek için bu özellikten kolayca yararlanabilir.

Stager, base64 kodlu komutları GIF içeren bir iletiden çıkarabilir ve böyle bir ileti algıladığında bunları bir aygıtta yürütebilir. Bundan sonra, yürütülen komutun çıktısı daha sonra GIFShell PoC tarafından base64 metnine dönüştürülecektir.

Bu saldırının bir sonucu, meşru Microsoft Teams ağ trafiğinin, gizlice veri sızdırmasına olanak tanıyan GIFShell saldırısının çıktısıyla karıştırılmasıdır.

Araştırmaya yanıt olarak, Microsoft araştırmayı kabul etti, ancak hiçbir güvenlik sınırının ihlal edilmediğini, bu nedenle düzeltilmeyeceğini söyledi.

Saldırıyı Okumak İçin Ön Koşullar

Aşağıda saldırıyı okumak için tüm ön koşullardan bahsettik:

• Saldırganın sisteminde, GIFShell Python betiği yürütülmelidir.
• Kurbanın sisteminde, GIFShell Powershell sahneleyicisini yürütmek gerekir.
• İki Microsoft Azure Kuruluşu veya Kiracısı gereklidir.
• Saldırganın kuruluşunda veya kiracısında en az iki kullanıcı bulunmalı ve kurbanın kuruluşunda en az bir kullanıcı bulunmalıdır. Bu alıştırmanın amacı, Microsoft Teams'in iş sürümünü test etmektir.
• Kişisel kullanım için iki Microsoft Teams kullanıcısı gereklidir. Burada, Microsoft Teams Home Edition yalnızca test amacıyla kullanılmaktadır.
• Teams kanalındaki kullanılabilir bir web kancasına herkes tarafından erişilebilir.
• İstediğiniz herhangi bir GIF'i seçebilirsiniz.
• Bu IP adresi halka açıktır ve web'den gelen istekler için dinleyici olarak çalıştırılabilir.

Azaltıcı Öneriler

Aşağıda önerilen tüm azaltmalardan bahsettik:

• Bilinmeyen kaynaklardan gelen eklere tıklamamanın önemi konusunda kullanıcılara eğitim verilmelidir.
• Office 365 için Microsoft Defender, Office 365'te Drive-By indirme saldırılarını önlemeye yardımcı olabilecek bir Güvenli Ekler ilkesi sağlar.
• NTLM tamamen devre dışı bırakılmalı veya SMB imzalama etkinleştirilmelidir.
• NTLM saldırılarını önlemek için, karmaşık bir parola ilkeniz olduğundan emin olmalısınız.

Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.