حمله GIFShell به Microsoft Teams: چیست و چگونه می‌توانید از خود در برابر آن محافظت کنید؟

سازمان‌ها و تیم‌های امنیتی برای محافظت از خود در برابر هرگونه آسیب‌پذیری تلاش می‌کنند و اغلب متوجه نمی‌شوند که این خطر توسط پیکربندی‌های موجود در برنامه‌های SaaS آن‌ها که سخت‌تر نشده‌اند نیز ایجاد می‌شود. روش حمله GIFShell جدید منتشرشده، که از طریق Microsoft Teams انجام می‌شود، نمونه کاملی از این است که چگونه عوامل تهدید می‌توانند از ویژگی‌ها و پیکربندی‌های قانونی که به‌درستی تنظیم‌ نشده‌اند بهره‌برداری کنند. این مقاله نگاهی می‌اندازد به آنچه این روش مستلزم آن است و مراحل موردنیاز برای مبارزه با آن.

روش حمله GifShell

تکنیک حمله GIFShell که توسط Bobby Rauch کشف شد[۱]، بازیگران بد را قادر می‌سازد تا از چندین ویژگی Microsoft Teams برای عمل به‌عنوان C&C برای دژافزارها بهره‌برداری کنند و داده‌ها را با استفاده از GIF‌ها بدون شناسایی توسط EDR و سایر ابزارهای نظارتی شبکه استخراج کنند. این روش حمله به دستگاه یا کاربری نیاز دارد که قبلاً در معرض خطر قرارگرفته باشد.

در اینجا[۲] بیاموزید که چگونه یک SSPM می‌تواند پیکربندی نادرست SaaS و ریسک کاربر Device-to-SaaS را ارزیابی، نظارت و اصلاح کند.

مؤلفه اصلی این حمله به مهاجم اجازه می‌دهد تا یک reverse shell ایجاد کند که دستورات مخرب را از طریق GIF های کدگذاری شده base64 در Teams ارائه می‌دهد و خروجی را از طریق GIF های بازیابی شده توسط زیرساخت خود مایکروسافت استخراج می‌کند.

چگونه کار می‌کند؟

• برای ایجاد این reverse shell، مهاجم ابتدا باید کامپیوتری را به خطر بی‌اندازد تا دژافزار موردنظر را نصب کند؛ به این معنی که بازیگر بد باید کاربر را متقاعد کند که یک stager مخرب[۳] مانند فیشینگ را نصب کند که دستورات را اجرا می‌کند و خروجی فرمان را از طریق یک URL GIF در یک web hook مربوط به Microsoft Teams آپلود می‌کند.
• هنگامی‌که stager در محل قرار گرفت، عامل تهدید tenantمربوط به Microsoft Teams خود را ایجاد می‌کند و با سایر کاربران Microsoft Teams خارج از سازمان تماس می‌گیرد.
• سپس عامل تهدید می‌تواند از یک اسکریپت پایتون[۴] GIFShell برای ارسال پیامی به کاربر Microsoft Teams استفاده کند که حاوی یک GIF ساخته شده ویژه است. این تصویر GIF قانونی اصلاح شده است تا شامل دستوراتی برای اجرا در دستگاه هدف باشد.
• هنگامی‌که هدف پیام را دریافت کرد، پیام و GIF در گزارش‌های Microsoft Teams ذخیره می‌شوند. نکته مهم: Microsoft Teams به‌عنوان یک فرآیند پس‌زمینه اجرا می‌شود، بنابراین GIF حتی برای دریافت دستورات مهاجم برای اجرا نیازی به باز شدن توسط کاربر ندارد.
• stager لاگ‌های Teams را نظارت می‌کند و وقتی یک GIF پیدا کرد، دستورات را استخراج و اجرا می‌کند.
• سرورهای مایکروسافت برای بازیابی GIF که با استفاده از خروجی کدگذاری شده base64 فرمان اجراشده نام‌گذاری شده است، دوباره به URL سرور مهاجم متصل می‌شوند.
• سرور GIFShell در حال اجرا روی سرور مهاجم این درخواست را دریافت می‌کند و به‌طور خودکار داده‌ها را رمزگشایی می‌کند و به مهاجمان اجازه می‌دهد خروجی فرمان اجرا شده در دستگاه قربانی را ببینند.

پاسخ مایکروسافت

همان‌طور که توسط Lawrence Abrams در BleepingComputer گزارش شده است[۵]، مایکروسافت موافق است که این روش حمله یک مشکل است، بااین‌حال، ” bar برای یک تعمیر امنیتی فوری را برآورده نمی‌کند.” آن‌ها “ممکن است در یک نسخه بعدی برای کمک به کاهش این تکنیک اقدام کنند.” مایکروسافت این تحقیق را تائید می‌کند اما تأکید می‌کند که هیچ مرز امنیتی دور زده نشده است.

درحالی‌که Rauch ادعا می‌کند که درواقع “دو آسیب‌پذیری اضافی در Microsoft Teams کشف شده است، عدم اجرای مجوز و جعل پیوست”، مایکروسافت استدلال می‌کند، “برای این مورد… همه این‌ها پس از بهره‌برداری هستند و به هدفی که قبلاً در معرض خطر است متکی هستند.” مایکروسافت ادعا می‌کند که این تکنیک از ویژگی‌های قانونی پلتفرم Teams استفاده می‌کند و چیزی نیست که در حال حاضر بتواند آن را برطرف کند.

مطابق با اظهارات مایکروسافت، درواقع این چالشی است که بسیاری از سازمان‌ها با آن روبرو هستند – تنظیمات و ویژگی‌هایی وجود دارد که بازیگران تهدید می‌توانند در صورت عدم سخت‌تر شدن از آن‌ها بهره‌برداری کنند. چند تغییر در پیکربندی tenant شما می‌تواند از این حملات ورودی توسط tenant های ناشناس Teams جلوگیری کند.

نحوه محافظت در برابر حمله GIFShell

پیکربندی‌های امنیتی در مایکروسافت وجود دارد که اگر سخت‌تر شوند، می‌توانند به جلوگیری از این نوع حمله کمک کنند.

1. غیرفعال کردن دسترسی خارجی: Microsoft Teams به‌طور پیش‌فرض به همه فرستنده‌های خارجی اجازه می‌دهد تا برای کاربران داخل آن tenant پیام ارسال کنند. بسیاری از مدیران سازمان احتمالاً حتی نمی‌دانند که سازمان آن‌ها اجازه همکاری با تیم‌های خارجی را می‌دهد. می‌توانید این تنظیمات را سخت کنید:

شکل ۱: تنظیمات دسترسی خارجی تیم های مایکروسافت

• دسترسی به دامنه خارجی را غیرفعال کنید: از یافتن، تماس، گپ زدن و تنظیم جلسات با افراد خارج از سازمان شما در هر دامنه‌ای در سازمانتان جلوگیری کنید. درحالی‌که فرآیندی مانند Teams یکپارچه نیست، اما بهتر از سازمان محافظت می‌کند و ارزش تلاش اضافی را دارد.
• شروع مکالمه تیم‌های خارجی مدیریت نشده را غیرفعال کنید: کاربران Teams در سازمان خود را از برقراری ارتباط با کاربران خارجی Teams که حساب‌های آن‌ها توسط یک سازمان مدیریت نمی‌شود مسدود کنید.

2. بینش موجودی دستگاه را به دست آورید: با استفاده از راه‌حل مدیریت آسیب‌پذیری XDR / EDR، مانند Crowdstrike یا Tenable، می‌توانید اطمینان حاصل کنید که دستگاه‌های کل سازمان شما کاملاً سازگار و ایمن هستند. ابزارهای امنیتی Endpoint اولین خط دفاعی شما در برابر فعالیت‌های مشکوک مانند دسترسی به پوشه گزارش تیم‌های محلی دستگاه هستند که برای استخراج داده‌ها در GIFShell استفاده می‌شود.

حتی می‌توانید یک‌ قدم فراتر بروید و یک راه‌حل SSPM (SaaS Security Posture Management) مانند Adaptive Shield را با ابزارهای امنیتی نقطه پایانی خود برای به دست آوردن دید و زمینه برای مشاهده و مدیریت خطرات ناشی از این نوع پیکربندی‌ها، کاربران SaaS شما و دستگاه‌های مرتبط با آن‌ها ادغام کنید.

چگونه حفاظت در برابر این حملات را خودکار کنیم؟

دو روش برای مبارزه با پیکربندی‌های نادرست و سخت‌تر کردن تنظیمات امنیتی وجود دارد: تشخیص دستی و اصلاح یا یک راه‌حل خودکار مدیریت وضعیت امنیتی SaaS (SSPM). با انبوهی از پیکربندی‌ها، کاربران، دستگاه‌ها و تهدیدات جدید، روش دستی باعث تخلیه ناپایدار منابع می‌شود و تیم‌های امنیتی را تحت‌فشار قرار می‌دهد. بااین‌حال، یک راه‌حل SSPM، مانند [۶]Adaptive Shield، تیم‌های امنیتی را قادر می‌سازد تا کنترل کاملی بر برنامه‌ها و تنظیمات SaaS خود داشته باشند. SSPM مناسب فرآیند نظارت، شناسایی و اصلاح پیکربندی‌های نادرست SaaS، دسترسی SaaS-to-SaaS، IAM مربوط به SaaS و ریسک کاربر دستگاه به SaaS را با رعایت استانداردهای صنعت و شرکت، خودکار و ساده می‌کند.

در مواردی مانند روش حمله GifShell، ویژگی‌های مدیریت پیکربندی نادرست Adaptive Shield تیم‌های امنیتی را قادر می‌سازد تا به‌طور مستمر ارزیابی، نظارت، شناسایی و هشدار در صورت وجود پیکربندی نادرست داشته باشند (شکل ۱ را ببینید). سپس آن‌ها می‌توانند به‌سرعت از طریق سیستم اصلاح کنند یا از سیستم خرید بلیط انتخابی برای ارسال جزئیات مربوطه برای اصلاح سریع استفاده کنند.

شکل ۲: نمای چشم انداز SaaS App Hygiene

به‌طور مشابه، ویژگی Adaptive Shield Device Inventory (در شکل ۲ مشاهده می‌شود) می‌تواند دستگاه‌هایی را که در سطح شرکت مورداستفاده قرار می‌گیرند نظارت کند و خطرات Device-to-SaaS را علامت‌گذاری کند[۷] درحالی‌که این اطلاعات را با نقش‌ها و مجوزهای کاربر و برنامه‌های SaaS در حال استفاده مرتبط می‌کند. این امر به تیم‌های امنیتی امکان می‌دهد تا دیدی جامع از وضعیت کاربر و دستگاه برای محافظت و ایمن کردن دستگاه‌های پرخطری که می‌توانند به‌عنوان یک تهدید حیاتی در محیط SaaS آن‌ها عمل کنند، به دست آورند.

شکل ۳: Inventory دستگاه

در اینجا[۸] درباره اینکه چگونه Adaptive Shield SSPM می‌تواند از اکوسیستم برنامه SaaS شما محافظت کند، بیشتر بیاموزید.

منابع

[۱] https://medium.com/@bobbyrsec/microsoft-teams-attachment-spoofing-and-lack-of-permissions-enforcement-leads-to-rce-via-ntlm-458aea1826c5

[۲] https://www.adaptive-shield.com/lp-get-a-demo?utm_source=TheHackerNews&utm_medium=content_syndication&utm_campaign=THN_GifShell1

[۳] https://medium.com/@bobbyrsec/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7

[۴] https://github.com/bobbyrsec/Microsoft-Teams-GIFShell

[۵] https://www.bleepingcomputer.com/news/security/gifshell-attack-creates-reverse-shell-using-microsoft-teams-gifs

[۶] https://www.adaptive-shield.com/adaptive-shield-platform?utm_source=TheHackerNews&utm_medium=content_syndication&utm_campaign=THN_GifShell2

[۷] https://thehackernews.com/2022/07/the-new-weak-link-in-saas-security.html

[۸] https://www.adaptive-shield.com/lp-get-a-demo?utm_source=TheHackerNews&utm_medium=content_syndication&utm_campaign=THN_GifShell3

[۹] https://thehackernews.com/2022/09/microsoft-teams-gifshell-attack-what-is.html