Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams
Главная » Новости

Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams

Екатерина Быстрова 09 Сентября 2022 - 12:18
...
Новая атака GIFShell позволяет выкрасть данные через GIF в Microsoft Teams

Новый вектор атаки “GIFShell“ позволяет киберпреступникам использовать Microsoft Teams в фишинговых кампаниях. В результате злоумышленники могут выполнить команды и выкрасть необходимые данные с помощью графических изображений в формате GIF.

По словам исследователей, которые поделились новым вектором с BleepingComputer, атакующие могут связать ряд уязвимостей в Microsoft Teams, что позволит им задействовать легитимную инфраструктуру Microsoft для доставки вредоносных файлов, выполнения команд и извлечения файлов с помощью GIF.

В процессе кражи данных через серверы Microsoft защитным программам будет сложнее детектировать нежелательный трафик, поскольку они будут расценивать его как безобидный поток Microsoft Team.

Принцип GIFShell строится на использовании ряда уязвимостей в Microsoft Teams и состоит из следующих шагов:

  • обход проверок безопасности Microsoft Teams — позволяет внешним пользователям отправлять вложения юзерам Microsoft Teams;
  • модификация отправленных вложений — позволяет заставить пользователя скачать файл по внешнему URL вместо сгенерированной ссылки SharePoint;
  • спуфинг вложений, который необходим для того, чтобы они выглядели безобидными файлами, но в итоге загружали вредоносный исполняемый файл или документ;
  • небезопасные URI-схемы — позволяют стащить хеш SMB NTLM или провести атаку на ретранслятор NTLM (NTLM relay);
  • Microsoft поддерживает отправку зашифрованных base64 GIF, но не сканирует содержимое байтов этих GIF. Это позволяет доставлять вредоносные команды с помощью легитимных с виду GIF;
  • Microsoft хранит сообщения Teams в лог-файле, который хранится локально на устройстве жертвы. Причём он доступен пользователю с низкими правами.
  • серверы Microsoft получают GIF с удалённых серверов, допуская извлечения данных с помощью имён GIF-файлов.

На вектор указал эксперт Бобби Раух, выявивший множество уязвимостей в Microsoft Teams, которые можно использовать в связке для выполнения команд, извлечения данных, обхода проверок и фишинговых атак.

GIFShell, по словам специалиста, позволяет атакующему создать обратный шелл, доставляющий вредоносные команды через зашифрованные base64 GIF в Teams. Раух даже опубликовал Python-скрипт, отправляющий пользователю Microsoft Teams сообщение, содержащее специально созданный GIF с командами.

Следующая главная новость »
AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Пенсионеры смогут подтверждать право на скидки в магазинах через MAX
Татьяна Никитина 06 Февраля 2026 - 18:38
Домашние пользователи
Пенсионеры смогут подтверждать право на скидки в магазинах через MAX

Процедура получения льгот, вводимых российским ретейлом для людей преклонного возраста, скоро упростится. Таким покупателям достаточно будет зайти в MAX и предъявить на кассе QR-код, сгенерированный на основе цифрового ID.

Сервис подтверждения статуса пенсионера через MAX уже запущен в пилотном режиме компанией X5.

В настоящее время нововведение доступно лишь москвичам — посетителям ряда «Перекрестков» и «Пятерочек», освоившим самообслуживание. В следующем месяце планируется распространить его на все торговые точки этих сетей.

«Каждый месяц в наши магазины приходят около 20 млн покупателей пенсионного возраста, — отметил Александр Костин, управляющий директор Х5 Tech. — Мы последовательно развиваем цифровые сервисы, которые делают покупки для клиентов любого возраста быстрее и удобнее, а процессы в магазинах — более эффективными».

Воспользоваться новой функцией несложно. На кассе самообслуживания нужно отсканировать товар, открыть раздел «Скидки пенсионерам и другие», выбрать из списка «Скидка пенсионерам» и поднести к считывателю смартфон с QR-кодом в профиле MAX (в мессенджере на такие случаи предусмотрена опция «Показать ID»).

Возможность использования MAX для подтверждения возраста в России закреплена законом. Создаваемый в мессенджере цифровой ID разрешено применять с этой целью наравне с бумажными документами, и ретейлеры уже начали осваивать это новшество при продаже товаров 18+.

AM LiveSOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »
Линус Торвальдс неожиданно оправдал Windows BSOD — в чём причина
Новость
Линус Торвальдс неожиданно оправдал Windows BSOD — в чём при...
Сайт Arch Linux оказался недоступен из-за DDoS-атаки
Новость
Сайт Arch Linux оказался недоступен из-за DDoS-атаки
Объем заблокированного Роскомнадзором запрещенного контента возрос на 59%
Новость
Объем заблокированного Роскомнадзором запрещенного контента...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.