Was ist das und wie können Sie sich davor schützen?

Was ist das und wie können Sie sich davor schützen?

Spread the love

Organisationen und Sicherheitsteams arbeiten daran, sich vor Schwachstellen zu schützen, und erkennen oft nicht, dass Risiken auch durch nicht gehärtete Konfigurationen in ihren SaaS-Apps entstehen. Die neu veröffentlichte GIFShell-Angriffsmethode, die über Microsoft Teams erfolgt, ist ein perfektes Beispiel dafür, wie Angreifer legitime Funktionen und Konfigurationen ausnutzen können, die nicht richtig eingestellt wurden. Dieser Artikel wirft einen Blick darauf, was die Methode beinhaltet und welche Schritte zu ihrer Bekämpfung erforderlich sind.

Die GifShell-Angriffsmethode

Die von Bobby Rauch entdeckte GIFShell-Angriffstechnik ermöglicht es Angreifern, mehrere Funktionen von Microsoft Teams auszunutzen, um als C&C für Malware zu fungieren und Daten mithilfe von GIFs zu exfiltrieren, ohne von EDR und anderen Netzwerküberwachungstools erkannt zu werden. Diese Angriffsmethode erfordert ein Gerät oder einen Benutzer, der bereits kompromittiert ist.

Erfahren Sie, wie ein SSPM SaaS-Fehlkonfigurationen und Geräte-zu-SaaS-Benutzerrisiken bewerten, überwachen und beheben kann.

Die Hauptkomponente dieses Angriffs ermöglicht es einem Angreifer, eine Reverse-Shell zu erstellen, die böswillige Befehle über Base64-codierte GIFs in Teams liefert und die Ausgabe durch GIFs exfiltriert, die von der Microsoft-eigenen Infrastruktur abgerufen werden.

Wie funktioniert es?

  • Um diese Reverse-Shell zu erstellen, muss ein Angreifer zuerst einen Computer kompromittieren, um die Malware einzuschleusen – was bedeutet, dass der Angreifer den Benutzer davon überzeugen muss, einen bösartigen Stager zu installieren, wie beim Phishing, der Befehle ausführt und die Befehlsausgabe über eine GIF-URL hochlädt ein Microsoft Teams-Web-Hook.
  • Sobald der Stager eingerichtet ist, erstellt der Bedrohungsakteur seinen eigenen Microsoft Teams-Mandanten und kontaktiert andere Microsoft Teams-Benutzer außerhalb der Organisation.
  • Der Angreifer kann dann ein GIFShell-Python-Skript verwenden, um eine Nachricht an einen Microsoft Teams-Benutzer zu senden, die ein speziell gestaltetes GIF enthält. Dieses legitime GIF-Bild wurde so modifiziert, dass es Befehle enthält, die auf dem Computer eines Ziels ausgeführt werden sollen.
  • Wenn das Ziel die Nachricht erhält, werden die Nachricht und das GIF in den Protokollen von Microsoft Team gespeichert. Wichtig zu beachten: Microsoft Teams läuft als Hintergrundprozess, sodass das GIF nicht einmal vom Benutzer geöffnet werden muss, um die Befehle des Angreifers zur Ausführung zu erhalten.
  • Der Stager überwacht die Teams-Protokolle und wenn er ein GIF findet, extrahiert er die Befehle und führt sie aus.
  • Die Server von Microsoft verbinden sich wieder mit der Server-URL des Angreifers, um das GIF abzurufen, das anhand der Base64-codierten Ausgabe des ausgeführten Befehls benannt wird.
  • Der GIFShell-Server, der auf dem Server des Angreifers läuft, empfängt diese Anfrage und entschlüsselt automatisch die Daten, sodass die Angreifer die Ausgabe des Befehls sehen können, der auf dem Gerät des Opfers ausgeführt wird.

Antwort von Microsoft

Wie Lawrence Abrams in BleepingComputer berichtet, stimmt Microsoft zu, dass diese Angriffsmethode ein Problem darstellt, jedoch „nicht die Messlatte für eine dringende Sicherheitskorrektur erfüllt“. Sie “können in einer zukünftigen Version Maßnahmen ergreifen, um diese Technik zu entschärfen.” Microsoft erkennt diese Forschung an, behauptet jedoch, dass keine Sicherheitsgrenzen umgangen wurden.

Während Rauch behauptet, dass tatsächlich „zwei zusätzliche Schwachstellen in Microsoft Teams entdeckt wurden, ein Mangel an Durchsetzung von Berechtigungen und Spoofing von Anhängen“, argumentiert Microsoft: „In diesem Fall … sind dies alles Post-Exploits und beruhen darauf, dass ein Ziel bereits kompromittiert wurde.“ Microsoft behauptet, dass diese Technik legitime Funktionen der Teams-Plattform verwendet und nichts, was sie derzeit entschärfen können.

In Übereinstimmung mit den Behauptungen von Microsoft ist dies in der Tat die Herausforderung, vor der viele Unternehmen stehen – es gibt Konfigurationen und Funktionen, die Angreifer ausnutzen können, wenn sie nicht gehärtet werden. Einige Änderungen an den Konfigurationen Ihres Mandanten können diese eingehenden Angriffe von unbekannten Teams-Mandanten verhindern.

So schützen Sie sich vor dem GIFShell-Angriff

Es gibt Sicherheitskonfigurationen innerhalb von Microsoft, die, wenn sie gehärtet sind, dazu beitragen können, diese Art von Angriffen zu verhindern.

1 — Externen Zugriff deaktivieren: Microsoft Teams ermöglicht standardmäßig allen externen Absendern, Nachrichten an Benutzer innerhalb dieses Mandanten zu senden. Viele Organisationsadministratoren sind sich wahrscheinlich nicht einmal bewusst, dass ihre Organisation die Zusammenarbeit externer Teams zulässt. Sie können diese Konfigurationen härten:

GIFShell-Angriff
Abbildung 1: Externe Zugriffskonfigurationen von Microsoft Teams
  • Externen Domänenzugriff deaktivieren – Verhindern Sie, dass Personen in Ihrer Organisation Personen außerhalb Ihrer Organisation in einer beliebigen Domäne finden, anrufen, chatten und Besprechungen mit ihnen einrichten. Dies ist zwar kein so nahtloser Prozess wie bei Teams, schützt die Organisation jedoch besser und ist den zusätzlichen Aufwand wert.
  • Deaktivieren Sie nicht verwaltete externe Teams, die eine Unterhaltung starten – Blockieren Sie Teams-Benutzer in Ihrer Organisation daran, mit externen Teams-Benutzern zu kommunizieren, deren Konten nicht von einer Organisation verwaltet werden.

2 – Erhalten Sie Einblick in den Gerätebestand: Sie können sicherstellen, dass die Geräte Ihres gesamten Unternehmens vollständig konform und sicher sind, indem Sie Ihre XDR-/EDR-/Vulnerability-Management-Lösung wie Crowdstrike oder Tenable verwenden. Endpoint-Sicherheitstools sind Ihre erste Verteidigungslinie gegen verdächtige Aktivitäten wie den Zugriff auf den Protokollordner des lokalen Teams des Geräts, der für die Datenexfiltration in GIFShell verwendet wird.

Sie können sogar noch einen Schritt weiter gehen und eine SSPM-Lösung (SaaS Security Posture Management) wie Adaptive Shield in Ihre Endpoint-Sicherheitstools integrieren, um Transparenz und Kontext zu erhalten, um die Risiken, die sich aus dieser Art von Konfigurationen, Ihrem SaaS, ergeben, einfach zu erkennen und zu verwalten Benutzer und ihre zugehörigen Geräte.

So automatisieren Sie den Schutz vor diesen Angriffen

Es gibt zwei Methoden, um Fehlkonfigurationen zu bekämpfen und Sicherheitseinstellungen zu verstärken: manuelle Erkennung und Behebung oder eine automatisierte SaaS-Lösung für Security Posture Management (SSPM). Angesichts der Vielzahl von Konfigurationen, Benutzern, Geräten und neuen Bedrohungen ist die manuelle Methode eine nicht nachhaltige Ressourcenbelastung, die Sicherheitsteams überfordert. Eine SSPM-Lösung wie Adaptive Shield ermöglicht es Sicherheitsteams jedoch, die vollständige Kontrolle über ihre SaaS-Apps und -Konfigurationen zu erlangen. Das richtige SSPM automatisiert und rationalisiert den Prozess der Überwachung, Erkennung und Behebung von SaaS-Fehlkonfigurationen, SaaS-zu-SaaS-Zugriff, SaaS-bezogenem IAM und Geräte-zu-SaaS-Benutzerrisiken in Übereinstimmung mit Branchen- und Unternehmensstandards.

In Fällen wie der GifShell-Angriffsmethode ermöglichen die Fehlkonfigurationsverwaltungsfunktionen von Adaptive Shield Sicherheitsteams, eine Fehlkonfiguration kontinuierlich zu bewerten, zu überwachen, zu identifizieren und darauf hinzuweisen (siehe Abbildung 1). Dann können sie schnell über das System Abhilfe schaffen oder ein Ticketing-System ihrer Wahl verwenden, um die relevanten Details für eine schnelle Behebung zu senden.

GIFShell-Angriff
Abbildung 2. Landschaftsansicht der SaaS-App-Hygiene

In ähnlicher Weise kann die Geräteinventarisierungsfunktion von Adaptive Shield (siehe Abbildung 2) unternehmensweit verwendete Geräte überwachen und jedes Gerät-zu-SaaS-Risiko kennzeichnen, während diese Informationen mit den Benutzerrollen und -berechtigungen und den verwendeten SaaS-Apps korreliert werden. Dies ermöglicht es Sicherheitsteams, sich einen ganzheitlichen Überblick über den Status von Benutzergeräten zu verschaffen, um Geräte mit hohem Risiko zu schützen und zu sichern, die in ihrer SaaS-Umgebung eine kritische Bedrohung darstellen können.

GIFShell-Angriff
Abbildung 3. Gerätebestand

Erfahren Sie mehr darüber, wie Adaptive Shield SSPM Ihr SaaS-App-Ökosystem schützen kann.

.

Leave a Comment

Your email address will not be published.