X
GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的 [朝一から閉店までφ★]
■ このスレッドは過去ログ倉庫に格納されています
0001朝一から閉店までφ ★
垢版 |
2022/09/18(日) 17:23:28.37ID:fwKQ2KZc9
2022/09/14 19:48

著者:後藤大地

eSecurity Planetは9月12日(米国時間)、「New GIFShell Attack Targets Microsoft Teams|eSecurityPlanet」において、GIF画像を悪用してMicrosoft Teamsのターゲットのマシン上で任意のコマンドを実行する、新たな攻撃チェーンが発見されたと伝えた。これは、セキュリティ専門家であるBobby Rauch氏によって発見されたサイバー攻撃で、「GIFShell」と名付けられている。
GIFShellの主なコンポーネントは、隠されたPythonスクリプトを含むGIF画像とされている。細工された画像は、リバースシェルを作成するためにMicrosoft Teamsのユーザーに送信されるという。マイクロソフトの正規のインフラを悪用することでセキュリティ制御が回避され、無害に見せかけた画像に含まれた悪意のあるスクリプトによって重要なデータが窃取されてしまうことが明らかとなった。
実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。しかしながら、ソーシャルエンジニアリングや他のアプリケーションを利用することなく、説得力のある添付ファイルを介してMicrosoft Teamsからインストールされてしまう、と同氏の研究で述べられている。

この脆弱性はすでに2022年6月にMicrosoftに報告されているが、今のところ修正は優先されていない。Rauch氏は、修正されるまで次のような緩和策を推奨している。

・不明な外部送信者からの添付ファイルをクリックしないよう、ユーザー教育を徹底する
・Microsoft Defender for Office 365のSafe Attachmentsポリシーを導入し、ドライブバイダウンロード(Drive-by Download)攻撃を防止する
・SMB (Server Message Block)署名を有効にするか、NTLM (NT LAN Manager)を完全に無効にし、複雑なパスワードポリシーを導入してNTLMリレー攻撃を防止する

Microsoft Teamsでは、ユーザー設定で外部ドメインのアクセス許可を制御できるため、外部組織との不要な通信を防ぐことも可能と説明されている。

https://news.mynavi.jp/techplus/article/20220914-2453757/
0054ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 17:57:49.08ID:WY0FsCS90
>>44
日経 xTECH「プログラミング言語実態調査」

今後、スキルを磨きたいと思う言語
→一位python 二位JavaScript 三位HTML/CSS


今後、スキルを磨かなくてもよいと思う言語
→一位COBOL 二位FORTRAN 三位PL/I
0057ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:01:11.47ID:IBLA1rWy0
こんなことして楽しいかね
わたしは恥ずかしい
いまの世の中どうかしてる
世の中どうなってんだ
たかがgifすら安心して楽しめないとは
すけべ心をなんだと思ってる
けしからん
て思うよな?
0058ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:01:53.99ID:uEY2edgn0
どおなるの?
0059ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:02:08.50ID:udbPSmTt0
職場のTeamsで試したらクビになるかな?
0060ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:02:58.64ID:WY0FsCS90
そういや、gifのunisys特許問題で新しいアニメーション画像フォーマットを模索してたときあったよね。mngだっけ?流行らなかった気がする
0061ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:04:29.30ID:S8HbkZM30
サイトの広告アニメーションってGifなんじゃないの?
最近のは知らんけど
エロサイト見ながら会議するなってことなのでは
0062ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:08:02.25ID:VMWbdxKA0
>>60
MNGの代わりにMozillaがAPNGを提案して標準化されてないけどブラウザサポートはそれなりに広い
APNGは未対応なら普通のPNGに見える
0063ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:09:00.09ID:vpi2YuYu0
>>46
え?
パ↑イソンじゃないの?
0066ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:13:23.43ID:waMzyyTi0
マイクロソフトチーム知らないけどチームで開いたgif がコマンドを実行するってことかな?
俺には関係無さそうだ
0067ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:13:54.28ID:0Mp4ZV2x0
gifってパラパラ漫画みたいな動画的なやつか

そういう特殊な画像ファイルはこういうことができてしまうってことなのか
png一択にしとけば、まず問題ないんやろさすがに
0070ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:16:37.09ID:waMzyyTi0
>>67
コマンドを実行する受けて側の環境も必要
普通にgifを見てるだけならコマンドを実行できない

コマンドを実行できるファイルって基本的にexeとかAPNとかだからその思い込みをついて安全と思わせて実行させるってことなんだろうね
0072ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:18:32.09ID:iY7d3abJ0
stagerなんてアプリ入れてる奴に当たる確率は奇跡的だろうな
どんな需要があって作ったんだと
0073ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:20:22.04ID:waMzyyTi0
>>72
そこはソーシャルハックだろう
言葉巧みにインストールさせればいい

技術的なものによらないハックも有効

スパイなんてほとんどソーシャルハックだからな
まず有効的に近づいてくる
0075ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:24:00.04ID:MjYcYrhs0
>>46
パイパンに引っ張られてるんだよ
0076ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:24:22.32ID:VMWbdxKA0
>>72
Teamsグループの外部から添付ファイル付きのメッセージを送れるようになってしまう脆弱性
Teamsで添付ファイルを開くときにファイルとは無関係の任意のURLにリダイレクトできてしまう脆弱性
さらにms-excelスキーム等特殊URLを利用してマシンのパスワードのNTML Hashを盗む攻撃
これらを組み合わせて攻撃者は侵入を試みる
0077ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:25:08.14ID:9/jB6EC40
>>46
フォトショップも気持ち悪い
0079ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:27:39.06ID:AfD3qcTY0
ウイルス製作者が世界中の男から目の敵にされて
クラウドファンディングで懸賞金にでもかけられたら面白いのに
0080ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:35:34.21ID:5QYNA4yx0
GHOST IN THE SHELL
0083ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:43:46.61ID:F7NzJreF0
義父にパイソン
アッー!
0084ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:44:25.83ID:F/VrfUdU0
>>21
365の管理者してるけど監査対象にした場合は丸見えよ
メッセージ削除しても訴訟用に残ってるし。
0087ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 18:56:35.54ID:5QYNA4yx0
>>85
0089ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 19:03:35.57ID:SMkfgVmF0
Stagerとやらをインストールさせられてしまうことこそが脆弱性じゃないの?
0090ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 19:03:42.09ID:AenA6GOh0
【毎日の健康の強力な味方!アブラナ科の野菜を食べよう】

〈アブラナ科ってどんな野菜?〉
キャベツ、ブロッコリー、大根、白菜、ブロッコリースプラウト、ワサビ、
カリフラワー、ルッコラ、ケール、小松菜、水菜、チンゲン菜など、スーパーで手に入る身近な野菜です。

〈どんな効果があるの?〉
イソチオシアネートという成分と抗酸化性ビタミンの働きにより、以下の効果が期待できます。
☆今の時期に嬉しい「免疫力アップ」
☆老廃物を排出「デトックス効果」
☆老化と生活習慣病を防ぐ「抗酸化」
☆肌や粘膜の荒れにも◎「抗炎症」
☆にんにくに並ぶ予防効果!「抗がん作用」
0094ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 19:11:28.20ID:tzdtpPS40
>>4
これ見たんやけど大丈夫かいな?
0095ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 19:12:08.90ID:YfbV3NzC0
>>4
やばいぞ
0096ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 19:12:34.54ID:tzdtpPS40
>>95
や、やばいんか…
0099ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 19:26:55.41ID:k2OzIVLj0
なんでgifに仕込まれたpythonを実行するプラグインとかあるんだよw
画像ファイルの脆弱性いろいろあったじゃねえか( ;´・ω・`)
0100ひらめん
垢版 |
2022/09/18(日) 19:29:41.04ID:NgqK9aLe0
jpg gif pngあたりは有名
tiff pcx bmp あまりみないね(´・・ω` つ )
0102ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 19:38:45.31ID:qPi0/GPT0
gif偽装って昔からあるな
やってみたいと思うよね
0104ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 19:49:01.66ID:/Vfny+PN0
gifファイルは最初からジフと呼ばれていた、ギフと呼ばれていたことは一度もない
ちなみにmobileは最初の頃だけモビールと呼ばれていた
アップルが発売したPDA初号機ニュートンが出た頃はモビールだった記憶
その後NECが神機モバイルギアを発売してモバイルという読みが一般化した
0105ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 19:49:37.89ID:8feJVXe20
仕事でgif扱う機会はねーな
0106ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 20:03:24.25ID:wLXXxL4u0
画像ファイルに直接インタラクティビティつっこむのは今どきキチガイだろ
格好の標的だよ
その他のマクロやスクリプトより気づかれにくい
0107ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 20:06:29.05ID:5QYNA4yx0
>>99
ちょっと違う
Stagerは攻撃者が用意したコンパクトな仲介プログラム
言葉巧みにStagerをインストールさせ、次にGIFを送り込む
GIFに埋め込まれたコードをStagerで実行
0110ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 20:11:27.38ID:8SHDhXqu0
マックだと大丈夫なの?
0112ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 20:24:00.63ID:UIqOrDNO0
昔エロ画像だって持て囃されてた画像ファイルを開いたら尊師の画像でもうお前らの言うことは信じなくなった
0113ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 20:27:12.59ID:IBLA1rWy0
>>112
エロ画像キボンヌからのグロ画像はもはやテンプレの流れだったな
いやブラクラゲットのほうかな?
懐かしい
0114ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 20:30:53.91ID:HdXeNDGp0
義父ファイル
0116ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 20:33:11.43ID:CnauArp40
>>55
全部バージョンは初めて見たわw
あのあとどうなったのか長年の疑問が晴れたわ、ありがとう
0119ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 20:51:46.25ID:uL2AXkCY0
Pythonとかgifに仕込むとファイルサイズが極端にデカくなったりしないの?
0125ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 21:54:16.72ID:mKm0TYs40
GIFは嫌い
0127!id:ignore
垢版 |
2022/09/18(日) 21:57:04.59ID:LNtl6m8z0
Python実行環境があるPC限定だよね?さすがに
0128ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 22:09:25.07ID:fbOV7ZPc0
Teamesってめちゃくちゃ使いにくいよ。
0131ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 22:58:39.93ID:nkl4ckGo0
>>19
アナルファックやりすぎると、こういう風に直腸が裏返って出てくるようになるらしいね
上級者ははみ出た直腸触ってオナニーするとか
0134ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 23:18:20.70ID:t+SL0nCS0
海外サイト見ようとしたらアンチウイルスソフトが盛んに反応するのはこれが原因か
0135ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 23:19:39.78ID:YLnB82yA0
フィトゥンでそんなことできんのか
0139ニューノーマルの名無しさん
垢版 |
2022/09/18(日) 23:45:55.68ID:o7Rv+nWJ0
どうやって画像に仕込むの?
コード実行するわけでもないのに
0142ニューノーマルの名無しさん
垢版 |
2022/09/19(月) 00:20:13.34ID:kpf8khpa0
teamsで送られてきたの限定なのか
画像がメモリ上に展開された後にポインタがそこを指しちゃうとかでしょ
0144ニューノーマルの名無しさん
垢版 |
2022/09/19(月) 00:38:25.51ID:90Yyruqp0
MS…
0145ニューノーマルの名無しさん
垢版 |
2022/09/19(月) 00:52:10.11ID:Xcq9ov6k0
SMB無効にしなきゃだめ?
ネットワークHDDが開けなくなるんだけど
0146ニューノーマルの名無しさん
垢版 |
2022/09/19(月) 00:54:14.03ID:Xcq9ov6k0
>>139
GIF自体の中にGIFアニメとか透明GIFみたいな感じで、
画像情報コードにスクリプトがあると実行するんじゃないの?
Stagerがよくわからんから憶測だけど
0147ニューノーマルの名無しさん
垢版 |
2022/09/19(月) 01:17:47.75ID:mxRb5voR0
TeamsがGIFを表示するために使う外部プログラムがStagerとかいうのに差し替わる感じなのかね
そういうのを介せばGIFにプログラムを埋め込むこと自体は簡単そう
0148ニューノーマルの名無しさん
垢版 |
2022/09/19(月) 01:32:32.52ID:so1AEEwW0
HTML中に直接画像データを埋め込むbase64って方法があるらしい。
そこに画像じゃなくコードを埋めておき、あらかじめインストールさせておいた stager がそこを解読し実行する。
コードはHTML内のgif画像として送られるのでセキュリティチェックされないということみたい。
0149ニューノーマルの名無しさん
垢版 |
2022/09/19(月) 01:47:04.38ID:mxRb5voR0
うへぇマジか芸が無いな
画像はそれらしく見えてそのうえでコードも実行されるみたいなのを期待したのに
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況