Ha surgido una nueva amenaza que explota una vulnerabilidad en Microsoft Teams. Este ataque, conocido como ataque GIFShell, permite a los piratas informáticos ejecutar comandos y robar datos mediante GIF. Esta publicación de blog analiza los detalles de esta vulnerabilidad, sus implicaciones y la respuesta de Microsoft.
¿Qué es el ataque GIFShell?
El ataque GIFShell es una nueva técnica que permite a los actores de amenazas abusar de Microsoft Teams para ataques de phishing y ejecutar comandos de forma encubierta para robar datos usando GIF. El ataque explota una serie de vulnerabilidades y fallas en Microsoft Teams, utilizando la infraestructura legítima de la plataforma para entregar archivos y comandos maliciosos, y extrayendo datos a través de GIF. La exfiltración de datos ocurre a través de los propios servidores de Microsoft, lo que hace que el tráfico sea más difícil de detectar para el software de seguridad que lo considera tráfico legítimo de Microsoft Team.
¿Cómo funciona el ataque GIFShell?
El componente central del ataque GIFShell es un shell inverso que envía comandos maliciosos a través de GIF codificados en base64 a Teams y extrae la salida a través de GIF recuperados por la propia infraestructura de Microsoft. El atacante primero convence a un usuario para que instale una herramienta de transferencia maliciosa que ejecuta comandos y carga la salida del comando a través de una URL GIF a un enlace web de Microsoft Teams. La herramienta de transferencia escanea continuamente los registros de Microsoft Teams en busca de mensajes con un GIF, extrae los comandos codificados en base64 y los ejecuta en el dispositivo. La salida del comando ejecutado se convierte luego en texto base64 y se usa como nombre de archivo para un GIF remoto incrustado en una tarjeta de encuesta de Microsoft Teams que la herramienta de transferencia envía al webhook público de Microsoft Teams del atacante.
Implicaciones del ataque GIFShell
El ataque GIFShell tiene serias implicaciones para la ciberseguridad. Como el ataque utiliza los servidores de Microsoft para la filtración de datos, puede eludir la detección por parte del software de seguridad. Además, dado que Microsoft Teams se ejecuta en segundo plano, ni siquiera es necesario que el usuario lo abra para recibir comandos del atacante para ejecutar. El ataque también se puede usar para phishing, donde los atacantes pueden enviar archivos maliciosos a los usuarios de Teams pero falsificarlos para que parezcan imágenes inofensivas.
La respuesta de Microsoft al ataque GIFShell
Microsoft reconoció la investigación sobre el ataque GIFShell, pero dijo que no se parchearía porque no se sobrepasaron los límites de seguridad. Señalaron que si bien la investigación fue valiosa, los problemas identificados fueron posteriores a la explotación y se basaron en un objetivo ya comprometido. Sin embargo, Microsoft ha dejado la puerta abierta para solucionar estos problemas en futuras versiones de su software.
Como siempre, se insta a los usuarios a practicar buenos hábitos informáticos en línea, lo que incluye tener cuidado al hacer clic en enlaces a páginas web, abrir archivos desconocidos o aceptar transferencias de archivos.