GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的 [朝一から閉店までφ★]
■ このスレッドは過去ログ倉庫に格納されています
2022/09/14 19:48
著者:後藤大地
eSecurity Planetは9月12日(米国時間)、「New GIFShell Attack Targets Microsoft Teams|eSecurityPlanet」において、GIF画像を悪用してMicrosoft Teamsのターゲットのマシン上で任意のコマンドを実行する、新たな攻撃チェーンが発見されたと伝えた。これは、セキュリティ専門家であるBobby Rauch氏によって発見されたサイバー攻撃で、「GIFShell」と名付けられている。
GIFShellの主なコンポーネントは、隠されたPythonスクリプトを含むGIF画像とされている。細工された画像は、リバースシェルを作成するためにMicrosoft Teamsのユーザーに送信されるという。マイクロソフトの正規のインフラを悪用することでセキュリティ制御が回避され、無害に見せかけた画像に含まれた悪意のあるスクリプトによって重要なデータが窃取されてしまうことが明らかとなった。
実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。しかしながら、ソーシャルエンジニアリングや他のアプリケーションを利用することなく、説得力のある添付ファイルを介してMicrosoft Teamsからインストールされてしまう、と同氏の研究で述べられている。
この脆弱性はすでに2022年6月にMicrosoftに報告されているが、今のところ修正は優先されていない。Rauch氏は、修正されるまで次のような緩和策を推奨している。
・不明な外部送信者からの添付ファイルをクリックしないよう、ユーザー教育を徹底する
・Microsoft Defender for Office 365のSafe Attachmentsポリシーを導入し、ドライブバイダウンロード(Drive-by Download)攻撃を防止する
・SMB (Server Message Block)署名を有効にするか、NTLM (NT LAN Manager)を完全に無効にし、複雑なパスワードポリシーを導入してNTLMリレー攻撃を防止する
Microsoft Teamsでは、ユーザー設定で外部ドメインのアクセス許可を制御できるため、外部組織との不要な通信を防ぐことも可能と説明されている。
https://news.mynavi.jp/techplus/article/20220914-2453757/ teamsで送られてきた実行ファイルなら気軽に開くという
心理的脆弱性を突いた攻撃 技術的内容はこのあたりが詳しい感じ
https://medium.com/@bobbyrsec/gifshell-covert-attack-chain-and-c2-utilizing-microsoft-teams-gifs-1618c4e64ed7
stager自体もpythonスクリプトみたいだ。
何がヤバいかはこっちが分かりやすい。要は検知システムを入れててもネットワーク管理者にはみつける事が出来ない。
https://news.mynavi.jp/techplus/article/20220914-2453757/
ウチの会社も外部とのやり取りが厳しいので最初のリンクの1にあるTeamsの機能を便利に使わせて貰ってたんだが、セキュリティホール扱いなのか。お小言をもらう前に撤収するわ。まったく迷惑な話だ。 >>151
まあLinuxで組んであるし、専用線の俺の仕事は増えそうにないからいいや >>2
令和になって未だにぬるぽとかやってる原始人居るのねw ビューアが無いと意味ないやん
昔はWebブラウザが定番だったが >>54
そもそもHTML/CSSはプログラミング言語ではないのだが…なんて恥ずかしい実態調査なんだ >>160
厳密性にこだわるアスペにしかみえない
さらにアンケートとらなくてもPythonが世界では勢いあるのは覆らん スレの表示広告に仕込まれてたら5ちゃんが責任とってくれるのか? 外部ドメインからのアクセス解放してるようなザル企業はこんなの気にしないだろ >>60
mngはアケゲーのエミュレータMAMEの録画機能で採用されてた
今はAVI形式もできるけど >>76
こういう脆弱性は形こそ違うがXPの頃にもあったな(当時企業とかで現役だった2000や9x系も影響を受ける) >>61
その辺はイタチごっこというか
スマホはユーザ保護のため
動画を自動再生させない方針になったり
ならなくなったりを繰り返してて
その都度、広告側では回避策が模索されてる
一時期は、デコーダをJSで実装して
GIFではなくMP4を使っていたこともある >>84
訴訟ホールド機能はあまり活用したくはないけど、
>>21みたいなのがいると考えるとやむなしかねぇ・・・ >>169
デスクトップSafariが対応したので
いつでもwebpに移行できるのだけど
フォトショのアセット書き出しが対応してくれないので
商業ウェブ制作現場では
いまいち広まり切らんなwebp 今時Pythonは普通だからないと思うけど
Pythonが稼働していなければ
何の問題もない >>173
良かった。うちpythonのインストール禁止なんだよ。
仕事で使う局面もないから別に困ってもないけどな。 >>170
うちの会社もみんなTeamsでイチャイチャチャットしてるよ
今の若い子はチャット文化で育ったから話しやすいみたい マイクソソフトチーマーズが入ってなければ大丈夫なんだろ? エッジでteamsにログインできんくなった。
Firefoxでは入れるのに。 >>174
pythonはマクロ言語として他のアプリに組み込まれてインストールされてることもある。OpenOfficeとか。 >>117
すげえかわいいな
これでCカップなら俺も本気だした >>21
うちの会社Chatwork しか使ってないから >>174
コメントとか余計なヘッダーとか余計な列がついてるCSVを読み込むのにPython(とpandas,openpyxl)が一番手っ取り早いんだよねえ。 普通のアプリや組込系のソフトを作るだけでもPythonは必要なの? 昔ヤバいエロ画像は取り外しできるモザイクかけてアップされてたな。落としてきてモザイク外すの楽しかった。 >>173
MS Teamsが
実行環境持ってるんじゃない?
Excelだって
もうVB捨ててPythonとJS/TSに移行するわけだし なんか記事書いてる奴がすげー勘違いをしているようだが
proof of conceptの攻撃用のスクリプトがpythonで書かれてるってだけで
GIFの中に埋め込まれるのはスクリプトではなくてコマンドだぞ
今回のPoCではpowershellを乗っ取るので
powershell用のコマンドをGIFに埋め込んでリモートコントロールする例が示されている
脆弱性は「GIFの中に埋め込まれた不正なデータがTeamsのログファイルの中に現れてしまう」というもの よく分からんがオッパイGIFは開いてOKなんだな? >>55
うっかり締め出されて、しまった! まではわかるんだが
その後の行動はよくわからんな
というかそもそも全裸で部屋の外にのんびり出る自体が >>17
作り物乙
こんなのが任意に出し入れでければ
俺は便秘で苦労しないわ >>196
Teamsの添付ファイルに関する脆弱性で勝手にアプリをインストールされる危険性があるって話だぞ >>32
stager別件ではわりとよく、簡単に入る Pythonってインタプリタだよね?
実行遅いのかな? ■ このスレッドは過去ログ倉庫に格納されています