Zum Inhalt springen Zur Navigation springen
Microsoft Teams GIFShell Attacke – Ablauf & Schutz

Microsoft Teams GIFShell Attacke – Ablauf & Schutz

Artikel von Anton Frank·29. September 2023

Dieser Artikel schließt an letzten Artikel über Teams Schwachstellen an und konzentriert sich auf eine Post-Compromise-Schwachstelle, welche als „GIFShell Attack“ bereits seit fast zwei Jahren bekannt ist, jedoch eine Behebung auf sich warten lässt.

Microsoft und die Sicherheit

Microsoft Teams ist ohne Zweifel nach wie vor die wichtigste Kommunikationsplattform für moderne Unternehmen – sowohl intern als auch für die Kommunikation mit externen Usern wird Teams gerne und viel genutzt. Fast täglich gibt es seitens Microsofts Neuerungen und Fehlerbehebungen und so kriegt der Endnutzer das Gefühl, die Sicherheit der Daten sei immer auf dem neusten Stand.

Die Realität sieht jedoch etwas anders aus. Zwar sind die Sicherheitsbemühungen von Microsoft von hoher Priorität und hohem Niveau, jedoch werden nicht alle Schwachstellen konsequent behoben.

Besonders interessant ist in diesem Zusammenhang eine Schwachstelle, die Microsoft bereits seit längerer Zeit bekannt ist, gegen die aber nichts unternommen wurde. Es handelt sich dabei um eine Schwachstelle, die gemeinhin als GIFShell Attacke bekannt ist. Sie erlaubt Angreifern mit Hilfe von GIFs Befehle auf dem Zielsystem auszuführen oder sogar Daten zu stehlen. Ist sie einmal in Gang, kann sie sich unter bestimmten Voraussetzunge wie ein Computer-Wurm selbstständig ausbreiten.

Was sind GIFs?

GIF ist eine Abkürzung für Graphics Interchange Format. Dabei handelt es sich um ein spezielles Format, ähnlich dem JPEG, jedoch mit dem Unterschied, dass es sich bei GIFs um animierte Bilder bis hin zu ganzen Kurzvideos mit einer verlustfreien Kompression handelt. Sie können mit ihrer schlanken Dateigröße überzeugen und werden daher gerne in sozialen Medien verwendet, um Emotionen deutlicher rüberzubringen oder bestimmte Situationen humoristisch zu ergänzen.

GIFShell: kurz erklärt

Die GIFShell Attacke ermöglicht es Angreifern diverse Microsoft Teams Funktionen zu missbrauchen und dieses dadurch als sogenanntes C&C (Command and Control, eine Art vollständige Fernsteuerung des betroffenen Systems durch den Angreifer) für Malware zu nutzen. So können Daten durch GIFs gestohlen werden, ohne dass die Attacke von den meisten Monitoring-Systeme erkannt wird.

Voraussetzung für den Angriff ist, dass ein Nutzer oder ein Endgerät bereits kompromittiert ist (daher auch Post-Exploit bzw. Post-Compromise). Dem Angreifer wird im Hauptschritt ermöglicht eine sogenannte Reverse Shell (interaktive Schnittstelle zur Fernsteuerung des betroffenen Systems) zu erstellen. Durch diese lassen sich Befehle über GIFs, die im vornherein base64-kodiert wurden, versenden und somit weiterer Schaden anrichten.

Wie die Attacke abläuft

  1. Der Angreifer muss im vornherein den Computer eines Opfers kompromittieren. Das lässt sich oft mit Hilfe von Phishing-Mails ermöglichen, durch die der Nutzer dazu aufgefordert wird, einen sogenannten Stager zu installieren, welcher in der Lage ist, Befehle auszuführen, sowie die Befehlsausgabe über eine GIF-URL auf ein Teams Web-Hook hochlädt.
  2. Ist dieser Stager beim Opfer installiert, kann der Angreifer seinen eigenen Teams-Tenant erstellen und andere Teams-Nutzer außerhalb des Unternehmens kontaktieren.
  3. Mithilfe eines GIFShell-Pythonskripts lassen sich automatisch speziell präparierte GIFs, welche so manipuliert werden, dass sie Befehle enthalten, die auf dem Computer des Opfers ausgeführt werden, an Teams-Nutzer versenden.
  4. Erhält ein Teams-Nutzer diese Nachricht mit dem präparierten GIF, wird diese in Teams-Protokollen gespeichert. Dazu muss das GIF vom Nutzer nicht einmal mehr geöffnet werden. Da Teams als Hintergrundprozess läuft, wird der in der GIF versteckte Befehl auf jeden Fall vom Opfer empfangen.
  5. Der Stager, der die Teams-Protokolle im Auge hält, extrahiert sofort die Befehle aus der gefundenen GIF und führt diese auf dem Computer aus.
  6. Die Ergebnisse der ausgeführten Befehle werden auf den GIFShell Servern des Angreifers ausgegeben, wodurch sich ohne Probleme Daten, wie etwa Credentials der Opfer, auslesen und exfiltrieren lassen.

Was sind konkrete Gefahren?

Neben dem bereits erwähnten Credentials-Diebstahl und damit potentiellen Account Hijack ist außerdem die wurm-artige Verbreitung der Attacke eine große Gefahr für Unternehmen. So könnten in kürzester Zeit auch Accounts mit hohen Rechten übernommen werden und in diesem Zusammenhang der Zugriff auf vertrauliche Daten, wie etwa private und geschäftiche Dokumente, Besprechungs- und Kalenderdaten, sowie andere firmeninterne Geheimnisse erfolgen.

Spinnt man das Szenario weiter, könnten Angreifer mit den gefälschten Accounts auch gezielte Falschinformationen verbreiten, um so als vermeintliche Führungskraft den Angestellten monetäre Geschenke oder weitere vertraulichen Daten zu entlocken.

Warum Microsoft nichts unternimmt

Microsoft äußerte sich bereits letztes Jahr zu der Schwachstelle und räumte ein, dass diese ein Problem darstellt. Aufgrund ihrer Komplexität wird sie jedoch nicht als „dringliche Sicherheitslücke“ behandelt. Microsoft versprach weiterhin damals die Schwachstelle in künftigen Updates von Teams zu berücksichtigen. Bisher ist jedoch kein Anzeichen für eine Behebung des Problems ersichtlich, so dass davon auszugehen ist, dass die Schwachstelle nach wie vor besteht.

Auf Rückfrage von Bobby Rauch, der als Entdecker der Schwachstelle gilt, argumentierte Microsoft damit, dass es sich bei der Schwachstelle um einen sogenannten Post-Exploitation Hack handele, dem eine Kompromittierung des Ziels vorangeht und deshalb keine Priorität in der Behebung jener gesehen wird.

Es ist aber auch denkbar, dass sich die Behebung der Schwachstelle als eine große Herausforderung erweist, da die Angriffstechnik prinzipiell auf legitimen Funktionen von Microsoft Teams basiert und eine Behebung zum aktuellen Zeitpunkt einen viel zu großen Aufwand und gegebenenfalls neue Schwachstellen mit sich bringen würde.

Wie schütze ich mich vor der Attacke?

Selbstverständlich gibt es Maßnahmen, die ergriffen werden können, um diese Schwachstelle größtenteils zu verhindern. Bobby Rauch selber empfiehlt dazu folgende Maßnahmen:

  • Externen Zugriff auf Teams unterbinden: Die Default-Einstellungen von Teams erlauben es auch (organisations-) externen Nutzern Nachrichten an interne Nutzer zu schicken. Dies lässt sich in den Teams-Admin-Einrichtungen deaktivieren.
  • Zugriff von externen Domains nach Bedarf einschränken oder deaktivieren. Es wird hier empfohlen mit einer „allow-list“ zu arbeiten.
  • Kontakt zu externen unverwalteten Nutzern unterbinden.
  • Microsoft Teams Logs in die eigene Monitoring-Lösung einbinden und im Auge behalten.
  • Teams GIF-lookup-Server nach ungewöhnlichen Anfragen überwachen: dabei speziell nach besonders langen GIF-Dateinamen suchen, welche die Bezeichnung der exfiltrierten Daten enthalten könnten.

Hoffnung auf Besserung

Abschließend sei zu hoffen, dass Microsoft im Zuge der in den kommenden Jahren bevorstehenden Umstrukturierung ihrer Cloud-Dienste auch eine Ebene weiterschaut und sich nicht nur auf die direkten Sicherheitslücken konzentriert. Post-Exploit-Schwachstellen mögen zwar voraussetzen, dass eine Kompromittierung auf anderem Wege bereits im Vornherein stattgefunden haben muss, dafür ist der potentielle Schaden um ein Vielfaches größer als der von den meist kleineren, direkten Bedrohungen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.