Ядовитые гифки. Как работает уязвимость GIFShell

Ког­да мы говорим о внед­рении вре­донос­ного кода в гра­фичес­кие фай­лы, сра­зу вспо­мина­ется дроп­пер, который извле­кал бинар­ник тро­яна из сох­ранен­ной на дис­ке кар­тинки, и дру­гая мал­варь, искавшая в опуб­ликован­ном на уда­лен­ном сер­вере изоб­ражении управля­ющие коман­ды. Новый век­тор ата­ки, получив­ший наиме­нова­ние GIFShell, похож на вто­рой слу­чай. Он поз­воля­ет кибер­прес­тупни­кам зло­упот­реблять недос­татка­ми кор­поратив­ной плат­формы Microsoft Teams для запус­ка reverse shell и выпол­нения на ском­про­мети­рован­ном компь­юте­ре вре­донос­ных команд. При­чем добива­ются все­го это­го при помощи обыч­ных GIF-фай­лов. Ну, поч­ти обыч­ных.

GIFShell пред­став­ляет собой не одну кон­крет­ную уяз­вимость, а целую цепоч­ку атак, исполь­зующих раз­личные недоче­ты в архи­тек­туре плат­формы Microsoft Teams. Все­го уяз­вимос­тей обна­руже­но семь, их выявил и сис­темати­зиро­вал незави­симый эксперт по кибер­безопас­ности Боб­би Раух. Нап­ример, поль­зовате­лям Microsoft Teams дос­тупна воз­можность отправ­лять друг дру­гу вло­жен­ные фай­лы, при­чем эти вло­жения могут заг­ружать содер­жимое с внеш­него URL, а не по внут­ренней ссыл­ке SharePoint. Эти фай­лы порой выг­лядят впол­не безобид­ными, одна­ко при этом содер­жат неп­рият­ный сюр­приз. У поль­зовате­ля Microsoft Teams нет никакой воз­можнос­ти пред­варитель­но про­верить, вре­донос­но такое вло­жение или нет.

Кро­ме того, Microsoft Teams поз­воля­ет заг­ружать кар­тинки в фор­мате GIF с уда­лен­ных сер­веров и отправ­лять поль­зовате­лям GIF-фай­лы в кодиров­ке HTML Base64 и никак не про­веря­ет их содер­жимое. Поэто­му мож­но спря­тать внут­ри такого фай­ла вре­донос­ные коман­ды. Плат­форма под­держи­вает небезо­пас­ные схе­мы URI, допус­кающие кра­жу хешей SMB NTLM или ата­ки типа NTLM Relay. Наконец, весь тра­фик Microsoft Teams нап­равля­ется кли­ентам через сер­веры Microsoft, из‑за чего анти­виру­сы счи­тают его легитим­ным и не замеча­ют угро­зы. Все это в совокуп­ности откры­вает перед хакера­ми очень инте­рес­ные воз­можнос­ти.

По сооб­ражени­ям безопас­ности поль­зовате­ли Microsoft Teams из одной груп­пы не име­ют воз­можнос­ти нап­рямую обме­нивать­ся фай­лами с чле­нами дру­гих групп. В окне отправ­ки сооб­щения учас­тни­ку дру­гой коман­ды поп­росту отсутс­тву­ет кноп­ка с изоб­ражени­ем скреп­ки, поз­воля­ющая прик­репить файл. Одна­ко прос­тые сооб­щения отправ­лять мож­но — мно­гие адми­нис­тра­торы даже не подоз­рева­ют о том, что поль­зовате­ли Teams по умол­чанию могут получать сооб­щения от кого угод­но.

Ког­да сооб­щение с вло­жени­ем отправ­ляет­ся поль­зовате­лю из той же груп­пы, Microsoft Teams фор­миру­ет ссыл­ку SharePoint на вло­жен­ный файл, которая пре­обра­зует­ся в JSON и отправ­ляет­ся в виде POST-зап­роса на эндпой­нт Teams. По умол­чанию такую ссыл­ку могут прос­матри­вать толь­ко отпра­витель и получа­тель сооб­щения. Но сер­веры Microsoft не про­веря­ют, есть ли в ссыл­ках SharePoint в теле JSON адре­са сто­рон­них сер­веров, поэто­му такая ссыл­ка может быть замене­на любым URL. Это поз­воля­ет зло­умыш­ленни­ку выпол­нить ата­ку drive-by download. Кро­ме того, в этом JSON мож­но под­менить и обоз­начение фор­мата фай­ла, вмес­то раз­решен­ного JPEG передав, нап­ример, DLL или EXE.