1: チョコ投資がお送りします 2022/09/18(日) 17:23:28.37 ID:fwKQ2KZc9
2022/09/14 19:48
著者:後藤大地
eSecurity Planetは9月12日(米国時間)、「New GIFShell Attack Targets Microsoft Teams|eSecurityPlanet」において、GIF画像を悪用してMicrosoft Teamsのターゲットのマシン上で任意のコマンドを実行する、新たな攻撃チェーンが発見されたと伝えた。これは、セキュリティ専門家であるBobby Rauch氏によって発見されたサイバー攻撃で、「GIFShell」と名付けられている。
GIFShellの主なコンポーネントは、隠されたPythonスクリプトを含むGIF画像とされている。細工された画像は、リバースシェルを作成するためにMicrosoft Teamsのユーザーに送信されるという。マイクロソフトの正規のインフラを悪用することでセキュリティ制御が回避され、無害に見せかけた画像に含まれた悪意のあるスクリプトによって重要なデータが窃取されてしまうことが明らかとなった。
実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。しかしながら、ソーシャルエンジニアリングや他のアプリケーションを利用することなく、説得力のある添付ファイルを介してMicrosoft Teamsからインストールされてしまう、と同氏の研究で述べられている。
この脆弱性はすでに2022年6月にMicrosoftに報告されているが、今のところ修正は優先されていない。Rauch氏は、修正されるまで次のような緩和策を推奨している。
・不明な外部送信者からの添付ファイルをクリックしないよう、ユーザー教育を徹底する
・Microsoft Defender for Office 365のSafe Attachmentsポリシーを導入し、ドライブバイダウンロード(Drive-by Download)攻撃を防止する
・SMB (Server Message Block)署名を有効にするか、NTLM (NT LAN Manager)を完全に無効にし、複雑なパスワードポリシーを導入してNTLMリレー攻撃を防止する
Microsoft Teamsでは、ユーザー設定で外部ドメインのアクセス許可を制御できるため、外部組織との不要な通信を防ぐことも可能と説明されている。
https://news.mynavi.jp/techplus/article/20220914-2453757/
著者:後藤大地
eSecurity Planetは9月12日(米国時間)、「New GIFShell Attack Targets Microsoft Teams|eSecurityPlanet」において、GIF画像を悪用してMicrosoft Teamsのターゲットのマシン上で任意のコマンドを実行する、新たな攻撃チェーンが発見されたと伝えた。これは、セキュリティ専門家であるBobby Rauch氏によって発見されたサイバー攻撃で、「GIFShell」と名付けられている。
GIFShellの主なコンポーネントは、隠されたPythonスクリプトを含むGIF画像とされている。細工された画像は、リバースシェルを作成するためにMicrosoft Teamsのユーザーに送信されるという。マイクロソフトの正規のインフラを悪用することでセキュリティ制御が回避され、無害に見せかけた画像に含まれた悪意のあるスクリプトによって重要なデータが窃取されてしまうことが明らかとなった。
実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。しかしながら、ソーシャルエンジニアリングや他のアプリケーションを利用することなく、説得力のある添付ファイルを介してMicrosoft Teamsからインストールされてしまう、と同氏の研究で述べられている。
この脆弱性はすでに2022年6月にMicrosoftに報告されているが、今のところ修正は優先されていない。Rauch氏は、修正されるまで次のような緩和策を推奨している。
・不明な外部送信者からの添付ファイルをクリックしないよう、ユーザー教育を徹底する
・Microsoft Defender for Office 365のSafe Attachmentsポリシーを導入し、ドライブバイダウンロード(Drive-by Download)攻撃を防止する
・SMB (Server Message Block)署名を有効にするか、NTLM (NT LAN Manager)を完全に無効にし、複雑なパスワードポリシーを導入してNTLMリレー攻撃を防止する
Microsoft Teamsでは、ユーザー設定で外部ドメインのアクセス許可を制御できるため、外部組織との不要な通信を防ぐことも可能と説明されている。
https://news.mynavi.jp/techplus/article/20220914-2453757/
31: チョコ投資がお送りします 2022/09/18(日) 17:41:41.18 ID:xd1AQLZf0
>>1
実行させるほうがアホだろ
実行させるほうがアホだろ
2: チョコ投資がお送りします 2022/09/18(日) 17:24:09.84 ID:gm2DTkVC0
ぬるぽ
49: チョコ投資がお送りします 2022/09/18(日) 17:51:24.02 ID:LkXWQvnY0
>>2
ガッ
ガッ
91: チョコ投資がお送りします 2022/09/18(日) 19:04:11.25 ID:4uGTaYqp0
>>2
NullPointerException
NullPointerException
3: チョコ投資がお送りします 2022/09/18(日) 17:24:37.22 ID:YWUqPYpI0
JPEGに分割して音楽データ仕込んで頃が懐かしいな
5: チョコ投資がお送りします 2022/09/18(日) 17:25:35.93 ID:uEY2edgn0
分割動画を必死で連結してたよな
6: チョコ投資がお送りします 2022/09/18(日) 17:25:40.03 ID:ZIplUFbL0
Teamsでgif?
7: チョコ投資がお送りします 2022/09/18(日) 17:25:56.65 ID:1zhPBAU+0
apng流行れ
9: チョコ投資がお送りします 2022/09/18(日) 17:26:55.90 ID:ELDtQ+6O0
おっpythonか。
10: チョコ投資がお送りします 2022/09/18(日) 17:26:57.11 ID:+TrAxyi80
ギフハフ
11: チョコ投資がお送りします 2022/09/18(日) 17:26:59.97 ID:qMSQSU2Z0
まさに毒蛇
14: チョコ投資がお送りします 2022/09/18(日) 17:28:45.74 ID:LgkgdcQ20
ギ・・・GIF
15: チョコ投資がお送りします 2022/09/18(日) 17:28:52.69 ID:MDSTXpwr0
何それかっけーw
16: チョコ投資がお送りします 2022/09/18(日) 17:29:49.54 ID:rjM8OBrf0
なんで勝手にスクリプト実行するように
なってんだよあほか
なってんだよあほか
18: チョコ投資がお送りします 2022/09/18(日) 17:30:26.13 ID:ZSIC5cRA0
偽装gifだったらどうすんの
20: チョコ投資がお送りします 2022/09/18(日) 17:31:49.58 ID:WufaBzxh0
修正されるたびに重くなる
22: チョコ投資がお送りします 2022/09/18(日) 17:34:36.33 ID:6l3K4hfA0
まーたギフハブの陰謀か?
24: チョコ投資がお送りします 2022/09/18(日) 17:36:31.47 ID:QyuXz9q/0
画像にperlを仕掛けるのは昔あったが
25: チョコ投資がお送りします 2022/09/18(日) 17:36:32.47 ID:gbBHCNjF0
gifって前々から悪用されてるよな
欠陥フォーマットなんじゃないの
欠陥フォーマットなんじゃないの
26: チョコ投資がお送りします 2022/09/18(日) 17:36:35.14 ID:4Mac2zEh0
Apple信者で良かったです
コメント