Microsoft Teams的GIFShell攻击：原理及攻防

各种组织和网络安全团队都致力于保护自己免受任何漏洞的攻击，但往往意识不到风险也存在于其SaaS应用程序中一些不正确的配置。Microsoft Teams新发现的GIFShell攻击方法，是一个攻击者如何利用未正确设置的合法功能和配置展开入侵的完美示例。本文将介绍该方法的工作原理以及抵御对策。

GIFShell的攻击方法

该攻击技术由Bobby Rauch发现，使攻击者能够利用Microsoft Teams的多个功能充当恶意软件的C&C，并使用GIF泄露数据，而不会被EDR和其他网络监控工具检测到。此攻击方法需要一个已被入侵的设备或用户。

此攻击的主要组件允许攻击者创建一个反向外壳（shell），该外壳通过 Teams 中的 base64 编码 GIF 传递恶意命令，并通过微软自己的基础结构检索的 GIF 泄露输出。

入侵是怎么运作的？

1、要创建此反向外壳，攻击者必须首先破坏计算机以植入恶意软件 – 这意味着攻击者需要说服用户安装恶意程序（如通过网络钓鱼等手段），该程序执行命令并通过GIF URL将命令输出上传到Microsoft Teams的HOOK上。

2、程序就位后，攻击者创建自己的Microsoft Teams临时账户，并联系组织外部的其他Microsoft Teams用户。

3、然后，攻击者使用 GIFShell Python 脚本向包含特制 GIF（此合法的 GIF 图像已被修改，里面已经包含要在目标计算机上执行的命令）的Microsoft Teams用户发送消息

4、当目标收到消息时，消息和GIF将存储在Microsoft Teams的日志中。值得注意的是：Microsoft Teams作为后台进程运行，因此用户甚至不需要打开 GIF 即可接收攻击者要执行的命令。

5、恶意程序对日志进行监视，当它找到 GIF 时，便会提取并运行命令。

6、微软的服务器将连接回攻击者的服务器URL以检索GIF，该GIF使用执行命令的base64编码输出命名。

7、运行在攻击者服务器上的GIFShell服务器将收到此请求并自动解码数据，从而使攻击者能够看到在受害者的设备上运行的命令的输出。

微软的回应

正如劳伦斯·艾布拉姆斯（Lawrence Abrams）在《BleepingComputer》中报道的那样，微软认为这种攻击方法是一个漏洞，但是，它“不符合紧急安全修复的标准”。他们“可能会在将来的版本中采取措施来抵御这种攻击”。微软承认这项技术，但声称其没有绕过任何安全边界。

虽然劳奇（Rauch）声称确实“在Microsoft Teams中发现了另外两个漏洞：缺乏权限实施和附件欺骗”，但微软认为，“对于本案而言，这些入侵都是依赖于一个已经被入侵的目标，只是事后利用罢了。”微软声称，这项技术使用的是团队平台的合法功能，而不是他们目前可以修复的功能。

根据微软的说法，这确实是许多组织面临的威胁——攻击者可以利用那些不正确的配置。但也并不是没有抵御方法：对配置进行一些更改就可以有效防止。

如何防范GIF Shell攻击

Microsoft Teams有一些安全配置，正确设置后就可以帮助抵御此类攻击。

1、禁用外部访问：默认情况下，Microsoft Teams允许所有外部发件人向该租户中的用户发送邮件。许多组织管理员甚至可能不知道他们的组织允许外部团队协作。

• 禁用外部域访问 — 防止组织中的人在任何域中找到、呼叫、聊天和与组织外部的人建立会议。虽然不像通过 Teams 那样可以无缝地完成流程，但这可以更好地抵御攻击。
• 禁用非托管的外部团队开始对话 — 阻止组织中的团队用户与帐户不受组织管理的外部 Teams 用户进行通信。

2、检查设备清单：您可以使用 XDR/EDR/ Vulnerability Management，如众筹攻击或 Tenable，来确保整个组织的设备完全合规且安全。端点安全工具是抵御可疑活动的第一道防线，例如检查访问设备的本地团队日志文件夹，该文件夹是 GIFShell 中的数据泄露窗口。

甚至可以更进一步，将 SSPM（SaaS Security Posture Management，SaaS 安全状态管理）方案（如Adaptive Shield）与端点安全工具集成，从而轻松查看和管理这些类型的配置、SaaS 用户及其关联设备带来的风险。

如何自动抵御攻击

有两种方法可以防止配置错误并强化安全设置：人工检测和SSPM（SaaS安全状态管理）。随着大量配置、用户、设备和新威胁的出现，人工检测显然不太现实。但是，SSPM 方案（如Adaptive Shield）使安全团队能够完全控制其 SaaS 应用和配置。正确的 SSPM 可自动执行并简化 SaaS 错误配置、SaaS 到 SaaS 访问、SaaS 相关 IAM 和设备到 SaaS 用户风险的监控、检测和补救过程，符合行业和公司标准。

在其他类似于GIFShell的攻防中，Adaptive Shield的错误配置管理功能使安全团队能够持续评估、监控、识别和警报，以防出现错误配置。然后，他们可以通过系统快速补救，或使用所选的票证系统发送相关详细信息以进行快速修复。

同样，Adaptive Shield的设备清单功能（如图所示）可以监视公司范围内正在使用的设备，并标记任何设备到 SaaS的风险，同时将该信息与用户角色和权限以及正在使用的 SaaS 应用相关联。这使安全团队能够全面了解用户设备状况，以保护可能成为其 SaaS 环境中的关键威胁的高风险设备。