GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的!!!

2023年11月26日

1: 名無し 2022/09/18(日) 17:23:28.37 ID:fwKQ2KZc9
2022/09/14 19:48

著者:後藤大地

eSecurity Planetは9月12日(米国時間)、「New GIFShell Attack Targets Microsoft Teams|eSecurityPlanet」において、GIF画像を悪用してMicrosoft Teamsのターゲットのマシン上で任意のコマンドを実行する、新たな攻撃チェーンが発見されたと伝えた。これは、セキュリティ専門家であるBobby Rauch氏によって発見されたサイバー攻撃で、「GIFShell」と名付けられている。
GIFShellの主なコンポーネントは、隠されたPythonスクリプトを含むGIF画像とされている。細工された画像は、リバースシェルを作成するためにMicrosoft Teamsのユーザーに送信されるという。マイクロソフトの正規のインフラを悪用することでセキュリティ制御が回避され、無害に見せかけた画像に含まれた悪意のあるスクリプトによって重要なデータが窃取されてしまうことが明らかとなった。
実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。しかしながら、ソーシャルエンジニアリングや他のアプリケーションを利用することなく、説得力のある添付ファイルを介してMicrosoft Teamsからインストールされてしまう、と同氏の研究で述べられている。

この脆弱性はすでに2022年6月にMicrosoftに報告されているが、今のところ修正は優先されていない。Rauch氏は、修正されるまで次のような緩和策を推奨している。

・不明な外部送信者からの添付ファイルをクリックしないよう、ユーザー教育を徹底する
・Microsoft Defender for Office 365のSafe Attachmentsポリシーを導入し、ドライブバイダウンロード(Drive-by Download)攻撃を防止する
・SMB (Server Message Block)署名を有効にするか、NTLM (NT LAN Manager)を完全に無効にし、複雑なパスワードポリシーを導入してNTLMリレー攻撃を防止する

Microsoft Teamsでは、ユーザー設定で外部ドメインのアクセス許可を制御できるため、外部組織との不要な通信を防ぐことも可能と説明されている。

https://news.mynavi.jp/techplus/article/20220914-2453757/

31: 名無し 2022/09/18(日) 17:41:41.18 ID:xd1AQLZf0
>>1
実行させるほうがアホだろ
2: 名無し 2022/09/18(日) 17:24:09.84 ID:gm2DTkVC0
ぬるぽ
49: 名無し 2022/09/18(日) 17:51:24.02 ID:LkXWQvnY0
>>2
ガッ
3: 名無し 2022/09/18(日) 17:24:37.22 ID:YWUqPYpI0
JPEGに分割して音楽データ仕込んで頃が懐かしいな
5: 名無し 2022/09/18(日) 17:25:35.93 ID:uEY2edgn0
分割動画を必〇で連結してたよな
6: 名無し 2022/09/18(日) 17:25:40.03 ID:ZIplUFbL0
Teamsでgif?
21: 名無し 2022/09/18(日) 17:31:55.98 ID:9PNokXTy0
>>6
もしかしてTeamsで仕事中に後輩女子社員とイチャイチャチャットしない人?🤔
28: 名無し 2022/09/18(日) 17:38:13.97 ID:ZIplUFbL0
>>21
しない
7: 名無し 2022/09/18(日) 17:25:56.65 ID:1zhPBAU+0
apng流行れ
9: 名無し 2022/09/18(日) 17:26:55.90 ID:ELDtQ+6O0
おっpythonか。
10: 名無し 2022/09/18(日) 17:26:57.11 ID:+TrAxyi80
ギフハフ
11: 名無し 2022/09/18(日) 17:26:59.97 ID:qMSQSU2Z0
まさに毒蛇
13: 名無し 2022/09/18(日) 17:27:44.30 ID:jjo0pQF80
壺にしろ倉刂イ襾にしろ反社力ルトは政府に影響持たさせるなよ。

宗教課税早くしろよ🤤

https://i.imgur.com/nAJHUcT.png
https://i.imgur.com/9psQU3f.png

14: 名無し 2022/09/18(日) 17:28:45.74 ID:LgkgdcQ20
ギ・・・GIF
15: 名無し 2022/09/18(日) 17:28:52.69 ID:MDSTXpwr0
何それかっけーw
16: 名無し 2022/09/18(日) 17:29:49.54 ID:rjM8OBrf0
なんで勝手にスクリプト実行するように
なってんだよあほか
18: 名無し 2022/09/18(日) 17:30:26.13 ID:ZSIC5cRA0
偽装gifだったらどうすんの
20: 名無し 2022/09/18(日) 17:31:49.58 ID:WufaBzxh0
修正されるたびに重くなる
22: 名無し 2022/09/18(日) 17:34:36.33 ID:6l3K4hfA0
まーたギフハブの陰謀か?
23: 名無し 2022/09/18(日) 17:35:15.88 ID:29LyBLEz0
本文読んでないけどエロGIFが危険という事は分かった
24: 名無し 2022/09/18(日) 17:36:31.47 ID:QyuXz9q/0
画像にperlを仕掛けるのは昔あったが
25: 名無し 2022/09/18(日) 17:36:32.47 ID:gbBHCNjF0
gifって前々から悪用されてるよな
欠陥フォーマットなんじゃないの
26: 名無し 2022/09/18(日) 17:36:35.14 ID:4Mac2zEh0
Apple信者で良かったです
29: 名無し 2022/09/18(日) 17:39:04.74 ID:/PIDFf4N0
パイソンインストするのめんどいのにすげえ(^_^;)
32: 名無し 2022/09/18(日) 17:42:19.28 ID:cyVfO1e50
>「Stager」と呼ばれる実行ファイルをインストールしなければ
これ入れなきゃ
何の問題もないだろ
34: 名無し 2022/09/18(日) 17:42:47.74 ID:QDDyPy4V0
ギフハフには気をつけろ
35: 名無し 2022/09/18(日) 17:43:12.56 ID:H1mEE13u0
ビデオ会議でギフ使うやつおるんか?
37: 名無し 2022/09/18(日) 17:44:30.30 ID:RuaXs5BY0
1990年代にはgif画像に音楽データを埋め込んでアングラ系掲示板でやり取りしてたな。ジオシティーが主に使われてた
39: 名無し 2022/09/18(日) 17:44:55.01 ID:9oc67Oul0
>実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。
まだexe叩かせるほうが楽だわアホか
51: 名無し 2022/09/18(日) 17:55:00.51 ID:VMWbdxKA0
>>39
そのexeをインストールさせるのにもTeamsの脆弱性が使えるから合わせ技で危険だって話だぞ