Aggiornamenti recenti Marzo 30th, 2023 2:23 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- GPT4 è un formidabile suggeritore per i criminali informatici
- Dark Power: il nuovo ransomware ha colpito 10 vittime in un mese
- Gruppo hacker cinese sospettato degli attacchi zero-day a Fortinet
- Un bug di Woocommerce mette a rischio mezzo milione di store
- Meta presenta una nuova kill chain adatta a ogni tipo di attacco, o quasi
Catena di attacchi con le GIF di Microsoft Teams
Una nuova catena di attacco permette di eseguire comandi ed esfiltrare dati inviando immagini GIF manomesse attraverso messaggi in Microsoft Teams
Una serie di vulnerabilità in Microsoft Teams può essere concatenata per l’esecuzione di comandi, l’esfiltrazione di dati, l’aggiramento dei controlli di sicurezza e attacchi di phishing. La nuova catena di attacco è stata scoperta dal consulente di sicurezza informatica e pentester Bobby Rauch.
Come spiega un suo articolo, utilizzando questo attacco (denominato GIFShell) un cybercriminale può creare una reverse shell che invia comandi malevoli tramite GIF codificate in Teams. Può quindi esfiltrare l’output tramite GIF recuperate dall’infrastruttura di Microsoft.
Il primo passo consiste nell’indurre la vittima a caricare sul proprio dispositivo un eseguibile malware (stager) che esegue una scansione continua dei registri di Microsoft Teams. Una volta che lo stager è in funzione, un hacker può creare il proprio tenant di Microsoft Teams e contattare altri utenti al di fuori della propria organizzazione.
Può quindi utilizzare uno script, come Python GIFShell creato da Rauch, per inviare a uno dei suoi contatti un messaggio con una GIF appositamente creata, ossia modificata per includere comandi da eseguire sul computer della vittima.
Quando quest’ultima riceve il messaggio, il suo testo e la GIF vengono memorizzati nei registri di Microsoft Team, che lo stager malevolo monitora. Li sfrutta quindi per avviare una catena di eventi che mettono in comunicazione i server di Microsoft con quello dell’aggressore e gli consentono di recuperare l’output dei suoi comandi.
Rauch sottolinea che l’intera catena di attacco e i relativi elementi di progettazione insicuri sono stati segnalati a Microsoft nel maggio e giugno del 2022 ma, dopo 85 giorni di revisione, l’azienda ha deciso di non intervenire per risolverli.
Il ricercatore ritiene però che “soprattutto in ambienti di rete sicuri, in cui Microsoft Teams potrebbe essere uno dei pochi host e programmi consentiti e affidabili, questa catena di attacchi può essere particolarmente devastante“.
Condividi l'articolo
Vulnerabilità nelle applicazioni prima causa di cyberattacco
Shikitega: nuovo malware per Linux difficile da rilevare
Articoli correlati
Altro in questa categoria
Approfondimenti
-
GPT4 è un formidabile suggeritore per i criminali... Check Point Research (CPR) ha condotto un’analisi... -
Meta presenta una nuova kill chain adatta a ogni tipo di... Ben Nimmo ed Eric Hutchins, due esperti di cybersecurity di... -
Il settore dei trasporti è nel mirino di ransomware e data... Imprese e infrastrutture critiche non sono stati gli unici... -
Le imprese temono lo stigma degli attacchi e non investono... Nel corso dell’evento Attiva Incontra di Attiva... -
Zero-day in calo nel 2022, ma cresce la varietà Mandiant ha presentato una nuova ricerca che analizza le...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Dark Power: il nuovo ransomware ha colpito 10 vittime in un... C’è un nuovo gruppo nel mondo dei ransomware: si... -
Gruppo hacker cinese sospettato degli attacchi zero-day a... A inizio mese Fortinet aveva pubblicato un avviso... -
Un bug di Woocommerce mette a rischio mezzo milione di Automattic, l’azienda che sviluppa il CMS WordPress,... -
Meta presenta una nuova kill chain adatta a ogni tipo di... Ben Nimmo ed Eric Hutchins, due esperti di cybersecurity...
-
Il mercato SASE è cresciuto del 34% nel 2022 Secondo un nuovo rapporto pubblicato recentemente da...
Ransomware: la serie
No posts found.
