Acebo Insights

LA TRANSFORMACIÓN DIGITAL
QUE BUSCAS

Microsoft Teams y el ataque mediante GIFS

Una nueva cadena de ataque usa imágenes GIF en Microsoft Teams para enviar archivos maliciosos (que parecen totalmente inofensivos para el usuario) y ejecutar comandos para robar datos.

El principal componente de este ataque es una imagen GIF ( GIFShell) que contiene una secuencia de comandos ocultos. Los atacantes pueden eludir los controles de seguridad y hacer que los usuarios abran sin querer la puerta a un manipulador experto con malas intenciones, que ejecutará los comandos incrustados en el GIF.

Uno de los motivos por los que este ataque es posible es que Microsoft no escanea el contenido de dichos GIFs. Entonces, y a pesar de que su apariencia es bastante normal, ocultan comandos malintencionados.

Entendiendo el asunto

Así es como el ataque empieza:

El atacante envía un mensaje al usuario de Teams que contiene un GIF manipulado. Parece totalmente inofensivo, pero incluye comandos para ejecutar en el ordenador de dicho usuario objetivo. Los usuarios de Teams, por tanto, son engañados por estos «amistosos» archivos adjuntos.

Una vez que el mensaje es recibido, el GIF se almacena en los registros de Microsoft Teams.

A partir de ahí, detectará y extraerá  comandos base64. Este nuevo «inquilino» contactará con nuevas víctimas, a través del chat o reuniones, enviando esos GIF maliciosos.

Los atacantes sabrán cuando los servidores de Microsoft intenten recuperar esos GIFs.

El tráfico se considera legítimo, y la seguridad del software no detectará ningún problema porque todas esa solicitudes se realizan desde la web de Microsoft.

Abordando el problema

Se informó de esto a la empresa en Junio de 2022. Sin embargo, decidieron no hacer de este asunto algo prioritario por el momento. En cambio, lo tendrán en consideración para la próxima versión de Windows.

Bobby Rauch, el consultor en ciberseguridad que descubrió este ataque en cadena, recomienda lo siguiente:

     

  • Evitar hacer clic sobre archivos adjuntos de remitentes desconocidos.

  • Implementar una política de archivos adjuntos seguros y una política de contraseñas complejas para prevenir posibles ataques.

Quizás te interese…