Anzeige
Anzeige
News
Artikel merken

Angreifer nutzen GIFs für Attacken – Microsoft zuckt mit den Schultern

Der Cybersicherheitsexperte Bobby Rauch hat ein neuartiges Bedrohungsszenario erschaffen, das Nutzende von Microsoft Teams angreift und ihnen GIFs mit kodierten Schadbefehlen unterjubelt.

4 Min. Lesezeit
Anzeige
Anzeige

(Foto: Wichayada Suwanachun / Shutterstock)

Microsoft Teams eignet sich nach neuesten Erkenntnissen des Sicherheitsforschers Bobby Rauch in idealer Weise für einen Angriff, der zu allen möglichen Zwecken inklusive des Einschleusens von Schadcode oder dem Stehlen von Daten genutzt werden kann.

Anzeige
Anzeige

Rauch nennt seine Angriffstechnik „GIFShell“. Sie ermöglicht es Bedrohungsakteuren, Microsoft Teams – einmal kompromittiert – für neuartige Phishing-Angriffe zu missbrauchen und heimlich Befehle auszuführen, um etwa Daten zu stehlen. Dazu bedarf es am Ende nur einiger GIF-Dateien.

Microsoft Teams: Etliche Schwachstellen und ungünstige Standardeinstellungen

GIFShell funktioniert laut Rauch deshalb so gut, weil Microsofts Kommunikationstool einige günstige Voraussetzungen bietet. So verfüge es über zahlreiche Schwachstellen und Fehler und biete zudem einige kritische Standardeinstellungen, allen voran die Möglichkeit, mit externen Personen zu kommunizieren.

Anzeige
Anzeige

Microsoft unterstütze zudem den Versand von HTML-Base64-kodierten GIFs, scanne aber nicht den Byte-Inhalt der Dateien. So sei es möglich, bösartige Befehle innerhalb eines normal aussehenden GIFs zu übermitteln.

Zudem rufen Microsoft-Server GIFs auch von Remote-Servern ab und ermöglichen dabei die Datenexfiltration über GIF-Dateinamen, erläutert Rauch. Ungünstig sei zudem, dass Teams-Nachrichten in einer parsbaren Protokolldatei gespeichert werden, die sich lokal auf dem Rechner des Opfers befindet und auf die Benutzer mit geringen Rechten zugreifen können.

Anzeige
Anzeige

Günstig für den Angriff ist zudem der Umstand, dass Teams als Systemdienst im Hintergrund läuft und damit nicht explizit gestartet werden muss, um missbraucht werden zu können.

In Summe lasse sich so die legitime Microsoft-Infrastruktur missbrauchen, um bösartige Dateien und Befehle zu übermitteln und Daten über GIFs zu exfiltrieren. Dabei werde der potenziell schädliche Datenverkehr von Teams als legitimer Datenverkehr anerkannt und laufe unbeanstandet durch. Das berichtet Bleeping Computer.

Anzeige
Anzeige

So funktioniert der GIFShell-Angriff

Eine essenzielle Voraussetzung für die Funktionalität des Angriffsszenarios ist allerdings nicht im Vorbeigehen zu schaffen. GIFShell funktioniert nur, wenn eine Software installiert wird, die die Teams-Protokolldatei ständig auf ankommende GIFs checkt und dann dafür sorgt, dass die in den GIFs kodierten Befehle ausgeführt werden. Rauch nennt das Tool einen Stager.

So ist es also erforderlich, mindestens einem Teams-Nutzer eine Malware unterzujubeln, die dieser auch noch installiert. Ist das in einem Netz einmal gelungen, können weitere Stager per GIFShell installiert werden.

Setzen wir voraus, dass der Stager installiert ist, ist das Prinzip des Angriffs ziemlich einfach: Externe Angreifer senden modifizierte GIF-Dateien an Teams-Nutzer. Dort landen die GIFs in der Teams-Protokolldatei, die für alle Windows-Benutzergruppen lesbar ist, sodass jede Software auf dem Gerät darauf zugreifen kann.

Anzeige
Anzeige

Der Stager, der die Datei stetig überwacht, erkennt nun das modifizierte GIF, extrahiert die Base64-kodierten Befehle und führt sie auf dem Gerät aus. GIFShell nimmt dann die Ausgabe des ausgeführten Befehls und konvertiert sie in Base64-Text, den sie als Dateinamen für ein Remote-GIF verwendet, über dessen Dekodierung auf den eigenen Systemen die Angreifer wiederum die Ausgabe des auf dem Gerät des Opfers ausgeführten Befehls sehen können.

Anhand der Ausgabe können die Angreifer nun etwa entscheiden, weitere kodierte GIFs an den Teams-Nutzer zu senden, um sich schrittweise einem Ziel zu nähern. Alle Anfragen laufen dabei über die reguläre Kommunikationsschnittstelle, sodass etwa laufende Sicherheitssoftware sie nicht beanstanden wird.

Microsoft zuckt mit den Achseln

Als Rauch Microsoft mit dem Problem konfrontierte, erhielt er nicht viel mehr als ein Schulterzucken. Er habe zwar sicherlich einen Angriffsweg gefunden, der sei aber nicht zu beheben, weil er „keine Sicherheitsgrenzen umgeht“. It’s not a bug, it’s a feature, könnte man sagen.

Anzeige
Anzeige

Microsoft schrieb Rauch: „In diesem Fall, 72412, handelt es sich zwar um eine großartige Untersuchung, und das Entwicklungsteam wird sich bemühen, diese Bereiche im Laufe der Zeit zu verbessern, aber es handelt sich dabei um Post-Exploitation und setzt voraus, dass das Ziel bereits kompromittiert ist. Keine Sicherheitsgrenze scheint umgangen worden zu sein. Das Produktteam wird das Problem im Hinblick auf mögliche künftige Designänderungen überprüfen, aber das Sicherheitsteam wird dies nicht weiterverfolgen.“

Rauch findet die Argumentation nicht unbedingt schlüssig. Immerhin zeige seine Angriffsmethode, dass „es möglich ist, sehr überzeugende Phishing-Anhänge über Microsoft Teams an die Opfer zu senden, ohne dass ein Benutzer vorher prüfen kann, ob der verlinkte Anhang bösartig ist oder nicht.“

Als sich Bleeping Computer an Microsoft wandte, um zu erfahren, wieso der Konzern das Problem zwar seit Monaten kenne, aber nichts unternehme, erhielten sie eine ganz ähnliche Antwort. Microsoft belässt es bei einer Phishing-Warnung: „Diese Art von Phishing ist wichtig, um sich dessen bewusst zu sein, und wie immer empfehlen wir, dass Benutzer gute Computergewohnheiten online praktizieren, einschließlich Vorsicht beim Klicken auf Links zu Webseiten, beim Öffnen unbekannter Dateien oder beim Akzeptieren von Dateiübertragungen.“

Anzeige
Anzeige

Dass der Software-Hersteller nach dem Motto „Selbst schuld“ agiert, darf angesichts der Schwere der Konsequenzen des möglichen Angriffs durchaus überraschen. Die von Rauch ausgenutzten Sicherheitslücken und Fehler klassifiziert Microsoft jeweils einzeln, wodurch sie in der Einschätzung wenig gefährlich werden. Bleeping Computer ließ der Konzern wissen: „Einige weniger schwerwiegende Sicherheitslücken, die keine unmittelbare Gefahr für Kunden darstellen, haben keine Priorität für ein sofortiges Sicherheitsupdate, werden aber für die nächste Version oder das nächste Release von Windows in Betracht gezogen“.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige