“复杂的威胁参与者可以利用这种独特的 C2 基础设施来避免被 EDR 和其他网络监控工具检测到。尤其是在安全的网络环境中,Microsoft Teams 可能是少数允许的、受信任的主机和程序之一,这种攻击链可能特别具有破坏性,” Raunch 说。
“在 Microsoft Teams 中发现的另外两个漏洞,即缺乏权限执行和附件欺骗,允许 GIFShell stager 令人信服地在受害者的机器上被删除和执行,从而完成从受害者妥协到秘密通信的攻击链。”
Rauch 在 5 月和 2022 年 6 月向微软介绍了该漏洞。他说这些问题会影响 Microsoft Teams 1.5.00.11163 或更早版本。据顾问称,这些缺陷自那以后仍未修补。这意味着攻击者仍有机会对用户进行 GIFShell 攻击。
微软似乎告诉 Rauch,这些漏洞不符合公司的“服务标准”,但确实称赞了他的“伟大的研究”。
“通常,公司和工程团队根据’假定风险’做出设计决策,即不修补潜在的低影响漏洞或默认禁用安全功能,以实现某些业务目标,” Raunch 说。
“我相信这项研究证明了一个例子,产品工程团队做出的一系列设计决策和“假定风险”可以链接在一起,形成一个更有害的攻击链,以及比产品设计师想象的风险更高的利用是可能的。”
微软响应
微软与BleepingComputer进行了交谈,并给出了与 Rauch 基本相同的线路:
“这种类型的网络钓鱼很重要,我们一如既往地建议用户养成良好的在线计算习惯,包括在单击网页链接、打开未知文件或接受文件传输时要小心谨慎。
“我们已经评估了该研究人员报告的技术,并确定提到的两种技术不符合紧急安全修复的标准。我们一直在寻找更好地抵御网络钓鱼的新方法,以帮助确保客户安全,并可能在未来的版本中采取行动来帮助缓解这种技术。”
