Casi todos los chats en el lugar de trabajo tienen a esa persona que se considera un poco como un señor de los GIF. Si tiene suerte, su lugar de trabajo puede tener uno. Alguien que clava el GIF de respuesta perfecto cada vez, alegrando tu día y los días de todos los demás en el canal. Lo más probable es que tengas a alguien que responde a todo con GIF extraños y desagradables y considera que controlar la pronunciación del formato es la cruzada de su vida.
Bueno, independientemente del estado legendario, es hora de lanzar una mirada cautelosa sobre esos felices compañeros de trabajo GIF. computadora pitido (se abre en una pestaña nueva) habla de un exploit en Microsoft Teams que usa GIF para instalar potencialmente archivos maliciosos, ejecutar comandos e incluso extraer datos a través de estas divertidas imágenes en movimiento. Sí, ese GIF de reacción aleatorio y completamente fuera de lugar que Blimothy publicó la semana pasada no parece tan inocuo ahora, ¿verdad?
Afortunadamente, hay algunos pasos en el proceso. En primer lugar, el objetivo previsto debe instalar un escenario para ejecutar los comandos dados a través de estos GIF traviesos. Dado que los ataques de phishing siguen siendo exitosos en este, el año de nuestro señor GIF 2022, (se abre en una pestaña nueva) no es tan improbable. Especialmente teniendo en cuenta que es probable que provengan de una fuente de trabajo confiable, es probable que sea un error inocente y fácil de cometer.
A partir de aquí, ese controlador ejecutará escaneos continuos en el archivo de registros del equipo de Microsoft, en busca de GIF malignos. Los atacantes les habrán dado un caparazón inverso a estos GIF. Esto contendrá comandos codificados en base64 que se almacenan en los GIF del equipo, que luego realizan acciones maliciosas en la máquina de destino. Puede obtener más información sobre cómo funcionan estos ataques GIFShell a través de la página Medium de Discover, Bobby Rauch. (se abre en una pestaña nueva)
Una vez que se recibe el GIF, se almacena en el registro de chat, que luego es escaneado por el organizador. Al ver el GIF creado, extraerá ese código base64 y ejecutará y extraerá el texto. Este texto apuntará a un GIF remoto que está incrustado en las tarjetas de Teams Survey. Debido a cómo funcionan, se volverá a conectar con el atacante para recuperar el GIF, lo que permitirá a los atacantes decodificar el archivo y obtener acceso a más ataques.
Esencialmente, esto requiere un montón de diferentes exploits disponibles en Teams para que funcione, por lo que es de esperar que Microsoft obtenga una solución pronto. Un cambio en el lugar donde se almacenan los Teamlogs o la forma en que el programa recupera los GIF probablemente sería suficiente para poner una llave inglesa en el trabajo de cualquier malhechor. Por ahora, al menos tienes una razón real para regañar a alguien por usar GIF extraños.