Aggiornamenti recenti Gennaio 23rd, 2026 9:41 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Zendesk, sfruttato il sistema di ticketing per una campagna di spam massiva
- Sfruttate 37 vulnerabilità zero-day nel primo giorno di Pwn2Own Automotive
- StackWarp: scoperta una nuova vulnerabilità nei processori AMD
- CERT-AGID 10-16 gennaio: ancora phishing PagoPA e nuovi malware bancari
- Il 64% delle app di terze parti accede a dati sensibili senza un motivo valido. La ricerca di Reflectiz
Catena di attacchi con le GIF di Microsoft Teams
Una nuova catena di attacco permette di eseguire comandi ed esfiltrare dati inviando immagini GIF manomesse attraverso messaggi in Microsoft Teams
Una serie di vulnerabilità in Microsoft Teams può essere concatenata per l’esecuzione di comandi, l’esfiltrazione di dati, l’aggiramento dei controlli di sicurezza e attacchi di phishing. La nuova catena di attacco è stata scoperta dal consulente di sicurezza informatica e pentester Bobby Rauch.
Come spiega un suo articolo, utilizzando questo attacco (denominato GIFShell) un cybercriminale può creare una reverse shell che invia comandi malevoli tramite GIF codificate in Teams. Può quindi esfiltrare l’output tramite GIF recuperate dall’infrastruttura di Microsoft.
Il primo passo consiste nell’indurre la vittima a caricare sul proprio dispositivo un eseguibile malware (stager) che esegue una scansione continua dei registri di Microsoft Teams. Una volta che lo stager è in funzione, un hacker può creare il proprio tenant di Microsoft Teams e contattare altri utenti al di fuori della propria organizzazione.
Può quindi utilizzare uno script, come Python GIFShell creato da Rauch, per inviare a uno dei suoi contatti un messaggio con una GIF appositamente creata, ossia modificata per includere comandi da eseguire sul computer della vittima.
Quando quest’ultima riceve il messaggio, il suo testo e la GIF vengono memorizzati nei registri di Microsoft Team, che lo stager malevolo monitora. Li sfrutta quindi per avviare una catena di eventi che mettono in comunicazione i server di Microsoft con quello dell’aggressore e gli consentono di recuperare l’output dei suoi comandi.
Rauch sottolinea che l’intera catena di attacco e i relativi elementi di progettazione insicuri sono stati segnalati a Microsoft nel maggio e giugno del 2022 ma, dopo 85 giorni di revisione, l’azienda ha deciso di non intervenire per risolverli.
Il ricercatore ritiene però che “soprattutto in ambienti di rete sicuri, in cui Microsoft Teams potrebbe essere uno dei pochi host e programmi consentiti e affidabili, questa catena di attacchi può essere particolarmente devastante“.
Condividi l'articolo
Vulnerabilità nelle applicazioni prima causa di cyberattacco
Shikitega: nuovo malware per Linux difficile da rilevare
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Zendesk, sfruttato il sistema di ticketing per una campagna... Zendesk, nota piattaforma di ticketing, sta venendo... -
Sfruttate 37 vulnerabilità zero-day nel primo giorno di... Dopo l’ultima edizione tenutasi in Irlanda lo scorso... -
StackWarp: scoperta una nuova vulnerabilità nei processori... I ricercatori del CISPA Helmholtz Center for Information... -
CERT-AGID 10-16 gennaio: ancora phishing PagoPA e nuovi... Nel periodo compreso tra il 10 e il 16 gennaio,... -
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of...
Ransomware: la serie
No posts found.