GIFShell, une technique d’attaque qui s’en prend à Microsoft Teams à l’aide d’images GIF !

Une nouvelle technique d'attaque baptisée GIFShell cible les utilisateurs de Microsoft Teams et elle s'appuie sur des images GIFs pour tromper les utilisateurs et exécuter des commandes malveillantes !

Découverte par le consultant en cybersécurité Bobby Rauch, cette nouvelle attaque exploite des vulnérabilités de Microsoft Teams ainsi que des éléments qui ne sont pas suffisamment sécurisés. Au total, dans son rapport, il a énuméré 7 failles de sécurité différentes découvertes dans Microsoft Teams.

Par exemple, il mentionne le fait que Teams ne procède pas à une analyse complète de la partie encodée en Base64 des GIFs, ce qui permet d'y stocker du code malveillant sans pour autant retirer le code correspondant au GIF en lui-même. Autre exemple, la lecture des fichiers journaux (en texte brut - AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb.leveldb\*.log) de Teams n'implique pas d'avoir les droits administrateur ou un niveau de privilège spécifiques, ce qui signifie que le programme malveillant utilisé dans le cadre de cette attaque peut analyser les journaux.

Cette technique est difficilement détectable, car elle s'appuie sur des images GIFs et que le transfert des informations s'appuie sur les serveurs de Microsoft puisque l'on utilise des fonctions natives. De ce fait, même pour une solution de sécurité de type EDR, ce comportement malveillant peut s'avérer difficile à détecter. Dans un exemple mis en ligne, on peut voir que l'image GIF permet à l'attaquant d'exécuter une commande (et obtenir un reverse shell) au moment où l'utilisateur ouvre cette image.

Finalement, en exploitant ces différentes vulnérabilités, Bobby Rauch est parvenu à contourner différents contrôles de sécurité, à exfiltrer des données et à exécuter des commandes. Il précise également que cette technique est exploitable à partir d'une attaque de phishing.

La dernière version de Microsoft Teams toujours vulnérable

Le client desktop de la solution de collaboration et de visioconférence Microsoft Teams est touché par cette attaque, et pour être précis, la version 1.5.00.11163 est affectée ainsi que les versions antérieures. Microsoft est informé de la situation depuis mai et juin 2022, où Bobby Rauch a fait l'effort de contacter l'entreprise américaine, sauf qu'à ce jour, les vulnérabilités sont toujours présentes, y compris dans la version la plus récente de Teams. D'ailleurs, Microsoft lui "aurait donné la permission" de partager ses travaux publiquement.

D'après les informations relayées, voici l'avis de Microsoft sur la technique décrite par Bobby Rauch : "Il est important d'être conscient de ce type de phishing et, comme toujours, nous recommandons aux utilisateurs d'adopter de bonnes habitudes informatiques en ligne, notamment en faisant preuve de prudence lorsqu'ils cliquent sur des liens vers des pages Web, ouvrent des fichiers inconnus ou acceptent des transferts de fichiers".

La firme de Redmond précise également : "Nous avons évalué les techniques rapportées par ce chercheur et avons déterminé que les deux mentionnées ne répondent pas aux critères d'un correctif de sécurité urgent. Nous sommes constamment à la recherche de nouvelles façons de mieux résister au phishing pour assurer la sécurité des clients et nous pourrions prendre des mesures dans une prochaine version pour aider à atténuer cette technique."

Bien qu'il y ait un véritable risque associé à cette technique, cette campagne semble assez complexe à mettre en œuvre : c'est peut-être la raison pour laquelle Microsoft n'a pas encore mis en ligne de correctifs en urgence. Espérons tout de même que les vulnérabilités découvertes par Bobby Rauch soient corrigées, d'autant plus qu'il a réalisé un travail de qualité.

A suivre...

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4109 posts and counting.See all posts by florian

One thought on “GIFShell, une technique d’attaque qui s’en prend à Microsoft Teams à l’aide d’images GIF !

  • Pour que ça fonctionne il faut déjà que l’attaquant ait réussi à installer un programme qui va exécuter les commandes malicieuses, Teams n’étant plus qu’une télécommande ensuite…

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.