Opgelet: hackers gebruiken GIF’s in Microsoft Teams om je data te stelen

microsoft teams GIF

Het verzenden van GIF’s in Microsoft Teams is minder onschuldig dan het lijkt. Schadelijke malware is opgedoken in het communicatieplatform die GIF’s gebruikt als doorgeefluik van je data.

GIF’s (graphics interchange format) zijn een populair communicatiemiddel voor de informele interne communicatie. Een GIF zegt meer dan duizend woorden. Een ontdekking van cybersecurityonderzoeker Bobby Rauch zal je echter twee keer doen nadenken vooraleer je nog eens een GIF verzendt naar je collega’s. De malware GIFShell maakt namelijk van gebruik van GIF’s om toegang te krijgen tot je apparaat via Microsoft Teams.

lees ook

Microsoft lanceert Teams Rooms Pro met gratis versie voor kmo’s

GIFShell buit enkele specifieke kwetsbaarheden in Microsoft Teams uit om de controle te nemen over de shell van het slachtoffer. De malware circuleert exclusief op het platform van Microsoft. GIF’s lijken daar het perfecte middel voor te zijn. Op HotHardware staat de modus operandi van GIFShell in detail uitgelegd.

GIFShell in de praktijk

Eerst en vooral dient minimaal één Teams-account in de organisatie nietsvermoedend een stager te hebben geïnstalleerd. Die stager gebruiken de aanvallers om de logbestanden van de GIF’s te bekijken; de aanvallers zijn hier specifiek op zoek naar Base64-bestanden. Ze herschrijven de code en passen ook de URL aan voor weergave.

De GIF zal er op dit moment nog uitzien als een onschuldig Teams-bericht. Maar het inladen van de GIF activeert een webhook die de aanvaller groen licht geeft om commando’s vanuit zijn externe shell uit te voeren. Nu kan de aanvaller min of meer zijn vrije gang gaan op het gastapparaat en virussen installeren of databestanden binnentrekken.

Rauch maakt zijn ontdekking publiek in de hoop dat Microsoft snel met een oplossing op de proppen komt. Gelukkig vereist het lek helemaal geen complexe workaround. Als je toegang van externe partijen tot je Teams-hub uitschakelt in het admincenter, dan zou je GIFShell al buiten spel zetten. Dien je die externe toegang toch te geven, maak dan gebruik van gastaccounts.

nieuwsbrief

Abonneer je gratis op ITdaily !
  • This field is for validation purposes and should be left unchanged.
terug naar home