{"id":245757,"date":"2022-09-23T07:35:22","date_gmt":"2022-09-23T07:35:22","guid":{"rendered":"https:\/\/acebo.io\/?p=245757"},"modified":"2022-11-08T15:21:56","modified_gmt":"2022-11-08T15:21:56","slug":"microsoft-teams-y-el-ataque-mediante-gifs","status":"publish","type":"post","link":"https:\/\/acebo.io\/es\/microsoft-teams-y-el-ataque-mediante-gifs\/","title":{"rendered":"Microsoft Teams y el ataque mediante GIFS"},"content":{"rendered":"

[et_pb_section fb_built=\u00bb1″ _builder_version=\u00bb4.18.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb theme_builder_area=\u00bbpost_content\u00bb][et_pb_row _builder_version=\u00bb4.18.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb theme_builder_area=\u00bbpost_content\u00bb][et_pb_column type=\u00bb4_4″ _builder_version=\u00bb4.18.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb theme_builder_area=\u00bbpost_content\u00bb][et_pb_post_title meta=\u00bboff\u00bb featured_image=\u00bboff\u00bb _builder_version=\u00bb4.18.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb theme_builder_area=\u00bbpost_content\u00bb][\/et_pb_post_title][et_pb_text _builder_version=\u00bb4.18.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb theme_builder_area=\u00bbpost_content\u00bb]<\/p>\n

Una nueva cadena de ataque usa im\u00e1genes GIF en Microsoft Teams para enviar archivos maliciosos (que parecen totalmente inofensivos para el usuario) y ejecutar comandos para robar datos.<\/p>\n

El principal componente de este ataque es una imagen GIF ( GIFShell) que contiene una secuencia de comandos ocultos. Los atacantes pueden eludir los controles de seguridad y hacer que los usuarios abran sin querer la puerta a un manipulador experto con malas intenciones, que ejecutar\u00e1 los comandos incrustados en el GIF.<\/p>\n

Uno de los motivos por los que este ataque es posible es que Microsoft no escanea el contenido de dichos GIFs. Entonces, y a pesar de que su apariencia es bastante normal, ocultan comandos malintencionados.<\/p>\n

[\/et_pb_text][et_pb_text _builder_version=\u00bb4.18.0″ _module_preset=\u00bbdefault\u00bb hover_enabled=\u00bb0″ global_colors_info=\u00bb{}\u00bb theme_builder_area=\u00bbpost_content\u00bb sticky_enabled=\u00bb0″]<\/p>\n

Entendiendo el asunto<\/h3>\n

As\u00ed es como el ataque empieza:<\/p>\n

El atacante env\u00eda un mensaje al usuario de Teams que contiene un GIF manipulado. Parece totalmente inofensivo, pero incluye comandos para ejecutar en el ordenador de dicho usuario objetivo. Los usuarios de Teams, por tanto, son enga\u00f1ados por estos \u00abamistosos\u00bb archivos adjuntos.<\/p>\n

Una vez que el mensaje es recibido, el GIF se almacena en los registros de Microsoft Teams.<\/p>\n

A partir de ah\u00ed, detectar\u00e1 y extraer\u00e1\u00a0 comandos base64. Este nuevo \u00abinquilino\u00bb contactar\u00e1 con nuevas v\u00edctimas, a trav\u00e9s del chat o reuniones, enviando esos GIF maliciosos.<\/p>\n

Los atacantes sabr\u00e1n cuando los servidores de Microsoft intenten recuperar esos GIFs.<\/p>\n

El tr\u00e1fico se considera leg\u00edtimo, y la seguridad del software no detectar\u00e1 ning\u00fan problema porque todas esa solicitudes se realizan desde la web de Microsoft.<\/p>\n

[\/et_pb_text][et_pb_text _builder_version=\u00bb4.18.0″ _module_preset=\u00bbdefault\u00bb global_colors_info=\u00bb{}\u00bb theme_builder_area=\u00bbpost_content\u00bb]<\/p>\n

Abordando el problema<\/h3>\n

Se inform\u00f3 de esto a la empresa en Junio de 2022. Sin embargo, decidieron no hacer de este asunto algo prioritario por el momento. En cambio, lo tendr\u00e1n en consideraci\u00f3n para la pr\u00f3xima versi\u00f3n de Windows.<\/h3>\n

Bobby Rauch, el consultor en ciberseguridad que descubri\u00f3 este ataque en cadena, recomienda lo siguiente:<\/p>\n