Microsoft Teams GIFShell Attack dan Cara melindungi diri sendiri

Kemungkinan Anda belum pernah mendengar tentang serangan GIFShell yang dilakukan melalui Microsoft Teams. Dari apa yang kami kumpulkan, peretas mengeksploitasi konfigurasi dan fitur yang sah yang belum diatur dengan benar. Kami berharap tim keamanan dari banyak organisasi di seluruh dunia memperhatikan serangan ini dan konfigurasi yang diperkeras dalam aplikasi berbasis SaaS mereka.

Apa itu metode serangan GIFShell?

Serangan GIFShell adalah teknik yang dirancang untuk memberi peretas kemampuan untuk memanfaatkan fitur yang ditemukan di Microsoft Teams. Ini bertindak sebagai malware C&C yang mencuri data dengan menggunakan GIF tanpa ditemukan oleh semua jenis alat pemantauan. Metode serangan ini membutuhkan pengguna atau perangkat yang telah disusupi dengan lebih dari satu cara.

Serangan ini bekerja dengan membahayakan komputer dalam upaya untuk menambahkan malware. Dalam situasi seperti ini, peretas harus meyakinkan pengguna untuk memasang malware berbahaya di perangkat mereka. Sekarang, langkah selanjutnya adalah peretas membuat akun Microsoft Teams mereka sendiri, dan dari sana, melakukan kontak dengan pengguna Teams lain yang berada di luar organisasi.

Dari sana, peretas akan bekerja untuk memasukkan GIF yang dibuat khusus ke dalam Microsoft Teams log. Ketika stager menemukan GIF khusus ini, ia akan mengekstrak dan menjalankan perintah yang ditemukan di dalamnya mengatakan BleepingComputer.
Apa yang Microsoft katakan tentang masalah ini?
Untuk kasus ini, 72412, sementara ini adalah penelitian yang hebat dan tim teknik akan berusaha untuk meningkatkan area ini dari waktu ke waktu, ini semua pasca eksploitasi dan bergantung pada target yang telah dikompromikan. Tidak ada batas keamanan yang tampaknya dilewati. Tim produk akan meninjau masalah untuk kemungkinan perubahan desain di masa mendatang, tetapi ini tidak akan dilacak oleh tim keamanan.

Bagaimana cara melindungi diri Anda dari serangan GIFShell?

Hal pertama yang harus dilakukan pengguna adalah Nonaktifkan Akses Eksternal. Fitur ini diaktifkan secara default di Microsoft Teams tetapi dapat dinonaktifkan dengan mudah.

Sebagian besar organisasi tidak tahu bahwa mereka mengizinkan kolaborasi Tim Eksternal, dan sebagian besar tidak menggunakannya sejak awal.