Aggiornamenti recenti Maggio 8th, 2025 9:39 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’infrastruttura petrolifera statunitense è sotto attacco
- Cybercriminali sfruttano una vulnerabilità di Langflow per prendere il controllo dei server
- I criminali sfruttano la vulnerabilità in Samsung MagicINFO 9 Server
- Le difese migliorano, ma i ransomware continuano a colpire le aziende
- Veeam annuncia l’integrazione per MCP di Anthropic
Catena di attacchi con le GIF di Microsoft Teams
Una nuova catena di attacco permette di eseguire comandi ed esfiltrare dati inviando immagini GIF manomesse attraverso messaggi in Microsoft Teams
Una serie di vulnerabilità in Microsoft Teams può essere concatenata per l’esecuzione di comandi, l’esfiltrazione di dati, l’aggiramento dei controlli di sicurezza e attacchi di phishing. La nuova catena di attacco è stata scoperta dal consulente di sicurezza informatica e pentester Bobby Rauch.
Come spiega un suo articolo, utilizzando questo attacco (denominato GIFShell) un cybercriminale può creare una reverse shell che invia comandi malevoli tramite GIF codificate in Teams. Può quindi esfiltrare l’output tramite GIF recuperate dall’infrastruttura di Microsoft.
Il primo passo consiste nell’indurre la vittima a caricare sul proprio dispositivo un eseguibile malware (stager) che esegue una scansione continua dei registri di Microsoft Teams. Una volta che lo stager è in funzione, un hacker può creare il proprio tenant di Microsoft Teams e contattare altri utenti al di fuori della propria organizzazione.
Può quindi utilizzare uno script, come Python GIFShell creato da Rauch, per inviare a uno dei suoi contatti un messaggio con una GIF appositamente creata, ossia modificata per includere comandi da eseguire sul computer della vittima.
Quando quest’ultima riceve il messaggio, il suo testo e la GIF vengono memorizzati nei registri di Microsoft Team, che lo stager malevolo monitora. Li sfrutta quindi per avviare una catena di eventi che mettono in comunicazione i server di Microsoft con quello dell’aggressore e gli consentono di recuperare l’output dei suoi comandi.
Rauch sottolinea che l’intera catena di attacco e i relativi elementi di progettazione insicuri sono stati segnalati a Microsoft nel maggio e giugno del 2022 ma, dopo 85 giorni di revisione, l’azienda ha deciso di non intervenire per risolverli.
Il ricercatore ritiene però che “soprattutto in ambienti di rete sicuri, in cui Microsoft Teams potrebbe essere uno dei pochi host e programmi consentiti e affidabili, questa catena di attacchi può essere particolarmente devastante“.
Condividi l'articolo
Vulnerabilità nelle applicazioni prima causa di cyberattacco
Shikitega: nuovo malware per Linux difficile da rilevare
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le difese migliorano, ma i ransomware continuano a colpire... Le minacce informatiche continuano a evolversi e, anche se... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
L’infrastruttura petrolifera statunitense è sotto... Pochi giorni fa la CISA, in collaborazione con l’FBI,... -
Cybercriminali sfruttano una vulnerabilità di Langflow per... Una vulnerabilità di Langflow sta venendo attivamente... -
I criminali sfruttano la vulnerabilità in Samsung... Samsung MagicINFO è una piattaforma di gestione... -
Le difese migliorano, ma i ransomware continuano a colpire... Le minacce informatiche continuano a evolversi e, anche se...
-
Veeam annuncia l’integrazione per MCP di Anthropic In occasione di VeeamON, conferenza annuale...
Ransomware: la serie
No posts found.
