Este novedoso ataque permite crear shells inversas enviando GIFs en Microsoft Teams

Una nueva técnica de ataque llamada ‘GIFShell’ permite a los atacantes abusar de Microsoft Teams para nuevos ataques de phishing y ejecutar comandos de forma encubierta para robar datos usando… GIFs.

El nuevo escenario de ataque ilustra cómo los atacantes pueden unir numerosas vulnerabilidades y fallas de los equipos de Microsoft. Estas vulnerabilidades son utilizadas para abusar de la infraestructura legítima de Microsoft para enviar archivos, comandos maliciosos y realizar la filtración de datos a través de GIFs.

Como la exfiltración de datos se realiza a través de los propios servidores de Microsoft, el tráfico es más difícil de detectar por el software de seguridad. Esto porque lo ve como tráfico legítimo de Microsoft Team.

GIFShell – una shell inversa a través de GIFs

La nueva cadena de ataque fue descubierta por el consultor de seguridad cibernética y pentester  Bobby Rauch. Él encontró numerosas vulnerabilidades o fallas en los equipos de Microsoft. Estas se pueden encadenar para la ejecución de comandos, la exfiltración de datos, las omisiones del control de seguridad y los ataques de phishing.

El componente principal de este ataque se llama ‘GIFShell‘. GIFShell permite a un atacante crear una shell inversa que entrega comandos maliciosos a través de GIFs codificados en base64 en Teams, y exfiltra la salida a través de GIF recuperados por la propia infraestructura de Microsoft.

Para crear esta shell inversa, el atacante primero debe convencer a un usuario para que instale un controlador malicioso que ejecute comandos y cargue la salida del comando a través de una URL GIF en un enlace web de Microsoft Teams. Sin embargo, como sabemos, los ataques de phishing funcionan bien para infectar dispositivos. Por ello, Rauch ideó un nuevo ataque de phishing en Microsoft Teams para ayudar en esto, que describimos en la siguiente sección.

GIFShell funciona engañando a un usuario para que cargue un ejecutable de malware llamado “stager” en su dispositivo que escaneará continuamente los registros de Microsoft Teams ubicados en $HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb.leveldb*.log.

Todos los mensajes recibidos se guardan en estos registros y todos los grupos de usuarios de Windows pueden leerlos. En otras palabras, cualquier malware en el dispositivo puede acceder a ellos.

Buscando víctimas

Una vez que el escenario está en su lugar, un atacante crearía su propio arrendatario de Microsoft Teams y se pondría en contacto con otros usuarios de Microsoft Teams fuera de su organización. Los atacantes pueden lograr esto fácilmente ya que  Microsoft permite la comunicación externa de forma predeterminada  en Teams.

Para iniciar el ataque, el actor malicioso puede usar el script de Python GIFShell de Rauch para enviar un mensaje a un usuario de Microsoft Teams que contiene un GIF especialmente diseñado. Esta imagen GIF legítima se ha modificado para incluir comandos para ejecutar en la máquina de un objetivo.

Cuando el objetivo recibe el mensaje, el mensaje y el GIF se almacenan en los registros de Microsoft Teams, que supervisa el archivo malicioso.

Cuando el stager detecta un mensaje con un GIF, extrae los comandos codificados en base64 y los ejecuta en el dispositivo. El GIFShell de prueba de concepto luego toma el resultado del comando ejecutado y lo convierte en texto base64.

Este texto base64 se usa como nombre de archivo para un GIF remoto incrustado en una encuesta de Microsoft Teams que el stager envía al webhook público de Microsoft Teams del atacante.

A medida que Microsoft Teams procesa las tarjetas flash para el usuario, los servidores de Microsoft se conectarán nuevamente a la URL del servidor del atacante para recuperar el GIF, que se nombra utilizando la salida codificada en base64 del comando ejecutado.

El servidor GIFShell que se ejecuta en el servidor del atacante recibe esta solicitud y decodifica automáticamente el nombre del archivo. Esto permite a los atacantes ver el resultado del comando ejecutado en el dispositivo de la víctima, como se muestra a continuación.

Demostración

Por ejemplo, un archivo GIF recuperado llamado ‘dGhlIHVzZXIgaXM6IA0KYm9iYnlyYXVjaDYyNzRcYm9iYnlyYXVJa0K.gif‘ se decodificaría en la salida del comando ‘whoami’ ejecutado en el dispositivo infectado:

the user is: 
bobbyrauch6274\bobbyrauIkBáë

Los atacantes pueden continuar usando el servidor GIFShell para enviar más GIFs, con más comandos integrados para ejecutar, y continuar recibiendo la salida cuando Microsoft intenta recuperar los GIFs.

Dado que estas solicitudes las realiza el sitio web de Microsoft, urlp.asm.skype.com, que se utiliza para la comunicación regular de Microsoft Teams, el tráfico se considera legítimo y el software de seguridad no lo detecta. 

Esto permite que el ataque GIFShell exfiltre datos de forma encubierta al mezclar la salida de sus comandos con la comunicación de red legítima de Microsoft Teams.

Peor aún, como Microsoft Teams se ejecuta como un proceso en segundo plano, ni siquiera es necesario que el usuario lo abra para recibir los comandos del atacante para ejecutar.

Microsoft reconoció la investigación, pero dijo que no haría nada al respecto ya que no se pasaron por alto los límites de seguridad.

“Para este caso, si bien esta es una gran investigación y el equipo de ingeniería se esforzará por mejorar estas áreas con el tiempo, todas son posteriores a la explotación. Es decir, dependen de un objetivo que ya está comprometido”. 

“Parece que no se ha pasado por alto ningún límite de seguridad. El equipo de producto revisará el problema en busca de posibles cambios de diseño futuros. No obstante, el equipo de seguridad no hará un seguimiento de esto”.

Respuesta de Microsoft a Rauch.

Abuso de Microsoft Teams para ataques de phishing

Como dijimos anteriormente, el ataque GIFShell requiere la instalación de un ejecutable que ejecute los comandos recibidos dentro de los GIFs.

Para ayudar en esto, Rauch descubrió las vulnerabilidades de Microsoft Teams que le permitían enviar archivos maliciosos a los usuarios de Teams pero falsificarlos para que parecieran imágenes inofensivas en ataques de phishing.

“Esta investigación demuestra cómo es posible enviar archivos adjuntos de phishing altamente convincentes a las víctimas a través de Microsoft Teams, sin que el usuario pueda evaluar previamente si el archivo adjunto vinculado es malicioso o no”.  

Explicación de Rauch en su artículo

Como dijimos anteriormente en nuestra discusión sobre GIFShell, Microsoft Teams permite a los usuarios enviar mensajes a los usuarios en otros inquilinos de forma predeterminada. 

Sin embargo, para evitar que los atacantes usen Microsoft Teams en ataques de phishing de malware, Microsoft no permite que los usuarios externos envíen archivos adjuntos a miembros de otro inquilino.

Apatía de Microsoft

Rauch dijo que reveló las vulnerabilidades a Microsoft en mayo y junio de 2022 y, a pesar de que Microsoft dijo que eran problemas válidos, decidieron no solucionarlos de inmediato.

Cuando contactamos a Microsoft para preguntar por qué no se solucionaron los errores, no nos sorprendió su respuesta con respecto a la técnica de ataque GIFShell, ya que requiere que el dispositivo ya esté comprometido con malware.

“Es importante tener en cuenta este tipo de phishing y, como siempre, recomendamos que los usuarios practiquen buenos hábitos informáticos en línea. Esto incluye tener precaución al hacer clic en enlaces a páginas web, abrir archivos desconocidos o aceptar transferencias de archivos.

“Algunas vulnerabilidades de menor gravedad que no representan un riesgo inmediato para los clientes no se priorizan para una actualización de seguridad inmediata. No obstante, se considerarán para la próxima versión o lanzamiento de Windows”. 

Hemos evaluado las técnicas informadas por este investigador y hemos determinado que las dos mencionadas no cumplen con los requisitos para una solución de seguridad urgente.

Sin embargo, nos sorprendió que Microsoft no considerara la capacidad de los atacantes externos para eludir los controles de seguridad y enviar archivos adjuntos a otro usuario como algo que no debería repararse de inmediato.
Si quieres conocer todos los detalles sobre GIFShell puedes hacerlo aquí.