Fast jeder Arbeitsplatz-Chat hat diese eine Person, die sich selbst als einen GIF-Lord betrachtet. Wenn Sie Glück haben, hat Ihr Arbeitsplatz vielleicht sogar einen. Jemand, der jedes Mal das perfekte Antwort-GIF nagelt und Ihren Tag und den Tag aller anderen im Kanal erhellt. Es ist wahrscheinlicher, dass Sie jemanden haben, der auf alles mit seltsamen, unangenehmen GIFs antwortet und es als Kreuzzug ihres Lebens betrachtet, die Aussprache des Formats zu überwachen.
Unabhängig vom legendären Status ist es an der Zeit, einen argwöhnischen Blick auf diese glücklichen GIF-Mitarbeiter zu werfen. Computer piepst (öffnet in neuem Tab) erzählt von einem Exploit in Microsoft Teams, der GIFs verwendet, um potenziell schädliche Dateien zu installieren, Befehle auszuführen und sogar Daten über diese lustigen bewegten Bilder zu extrahieren. Ja, dieses zufällige und völlig unangebrachte Reaktions-GIF, das Blimothy letzte Woche gepostet hat, scheint jetzt nicht mehr so harmlos zu sein, oder?
Zum Glück gibt es ein paar Schritte zum Prozess. Zunächst einmal muss das beabsichtigte Ziel einen Stager installieren, um die Befehle auszuführen, die über diese frechen GIFs gegeben werden. Angesichts der Tatsache, dass Phishing-Angriffe in diesem Jahr unseres GIF-Lords 2022 immer noch erfolgreich sind, (öffnet in neuem Tab) es ist nicht so unwahrscheinlich. Besonders wenn man bedenkt, dass diese wahrscheinlich von einer vertrauenswürdigen Arbeitsquelle stammen, ist es wahrscheinlich ein unschuldiger und leicht zu machender Fehler.
Von hier aus führt dieser Stager kontinuierliche Scans der Microsoft Team-Protokolldatei durch und sucht nach bösartigen GIFs. Diese GIFs haben von den Angreifern eine umgekehrte Hülle erhalten. Diese enthält base64-codierte Befehle, die in den GIFs von Team gespeichert sind und dann böswillige Aktionen auf dem Zielcomputer ausführen. Sie können mehr darüber erfahren, wie diese GIFShell-Angriffe funktionieren, indem Sie entdecken, Bobby Rauchs, mittlere Seite. (öffnet in neuem Tab)
Sobald das GIF empfangen wurde, wird es im Chatprotokoll gespeichert, das dann vom Stager gescannt wird. Wenn es das gestaltete GIF sieht, wird es diesen base64-Code extrahieren und den Text ausführen und extrahieren. Dieser Text verweist auf ein Remote-GIF, das in Teams-Umfragekarten eingebettet ist. Aufgrund dieser Funktionsweise stellt es dann eine Verbindung zum Angreifer her, um das GIF abzurufen, sodass die Angreifer die Datei entschlüsseln und Zugriff auf weitere Angriffe erhalten können.
Im Wesentlichen benötigt dies eine Reihe verschiedener verfügbarer Exploits in Teams, um zu funktionieren, also sollte hoffentlich bald ein Fix von Microsoft kommen. Eine Änderung, wo Teamlogs gespeichert werden oder wie das Programm GIFs abruft, würde wahrscheinlich ausreichen, um allen Übeltätern einen Strich durch die Rechnung zu machen. Im Moment haben Sie zumindest einen tatsächlichen Grund, jemanden für die Verwendung seltsamer GIFs zu verurteilen.