Vorsicht bei der Verwendung von Gifs in Microsoft Teams

Ein Cybersicherheitsforscher entdeckte jüngst eine neue Technik, mit der Bedrohungsakteure heimlich Befehle ausführen und dadurch Phishing-Angriffe über beschädigte GIFs in Microsoft Teams durchführen und so Daten exfiltrieren können, ohne von Überwachungstools entdeckt zu werden. Doch was genau steckt dahinter? 

Microsoft Teams und GIFs 

Ein Arbeitsalltag ohne die Verwendung von Videokonferenz-Tools wie Microsoft Teams oder Zoom ist mindestens seit der Covid-19-Pandemie nicht mehr wegzudenken. Um den tristen Arbeitsalltag aufzuhellen, bedienen sich immer mehr Teams-Nutzer dabei an sogenannten GIFs („Graphics Interchange Format“). GIF ist ähnlich wie JPEG ein spezielles Grafikformat, bei dem mehrere Einzelbilder abgespeichert werden, welche wiederum für Animationen genutzt werden. Dadurch entsteht die Möglichkeit, Gefühle und Emotionen durch animierte Bilder schnell vermitteln zu können. Microsoft Teams unterstützt dabei die Versendung solcher GIFs in seiner Chatfunktion. GIF-Dateien können allerdings manipuliert werden, sodass Datenschützer grundsätzlich vor deren Nutzung warnen. 

Die von Bobby Rauch entdeckte Angriffsmethode über Microsoft Teams, der sogenannte „GIFShell-Angriff“ zeigt auf, wie Bedrohungsakteure Funktionen und Konfigurationen ausnutzen können, die nicht korrekt eingestellt wurden. Microsoft Teams eignet sich deswegen so gut für die genannte Angriffsmethode, da dieser Dienst über einige Schwachstellen und Fehler sowie kritische Standardeinstellungen wie das Kommunizieren mit externen Personen, verfügt.  

So funktionieren GIFShell-Angriffe 

Für die Ausführung der GIFShell-Angriffe ist es notwendig, mehrere Teams zu verketten, wodurch die Durchführung eine Herausforderung darstellt, nichtdestotrotz aber nicht unmöglich ist.  

Im ersten Schritt müssen die Angreifer einen bösartigen „Stager“ liefern und diesen auf dem Computer eines Microsoft Teams-Nutzers installieren. Den Angreifern muss es also zunächst gelingen, mindestens einem Teams-Nutzer die schädliche Software unterzujubeln, die dieser dann ebenfalls noch installiert.  

Im nächsten Schritt versenden die Angreifer die modifizierten GIFs an die Microsoft Teams-Nutzer. Der untergejubelte Stager scannt kontinuierlich die Microsoft Teams-Protokolle, die alle empfangenen Daten speichern und für alle Windows-Benutzergruppen lesbar sind, nach den eingehenden base64-codierten GIFs, dekodiert diese und führt injizierte bösartige Befehle auf dem durch den Stager komprimierten Computer aus.  

Der Microsoft-Server stellt eine Verbindung zur Server-URL des Angreifers her, um das GIF abrufen zu können. Diese Anfrage empfängt der Server des Angreifers (GIFShell-Server) und dekodiert automatisch die Daten, sodass die Angreifer die Ausgabe des auf dem Gerät des Opfers ausgeführten Befehls sehen können. Alle Anfragen laufen über die regulären Kommunikationsschnittstellen ab und werden von der Sicherheitssoftware nicht beanstandet. 

Da Microsoft Teams im Hintergrund läuft, müssen die Nachrichten vom Empfänger nicht einmal geöffnet werden.  

Reaktion von Microsoft wenig zufriedenstellend 

Bobby Rauch kontaktierte nach seiner Entdeckung Microsoft Teams, um diese auf die Angriffsgefahr hinzuweisen. Deren Reaktion war jedoch nur wenig zufriedenstellend. Sie bestätigten die Gefahr zwar, diese könne jedoch mangels einer Umgehung der Sicherheitsgrenzen nicht behoben werden.  

Microsoft klassifiziert die vom Cybersicherheitsforscher aufgeführten Sicherheitslücken und Fehler zudem jeweils einzeln, wodurch diese als wenig gefährlich für die Nutzer eingeschätzt werden. Dadurch entfällt die Priorität für sofortige Sicherheitsupdates. Nach eigenen Angaben von Microsoft werden die Sicherheitslücken jedoch für die nächste Version oder das nächste Release in Betracht bezogen. Ob dies wirklich passiert oder der Hersteller weiterhin nach dem Motto „Selbst schuld“ agiert, bleibt abzuwarten.  

Fazit  

Die von Bobby Rauch aufgezeigte Sicherheitslücke in Microsoft Teams war nicht die erste. Bereits 2020 wurde eine Schwachstelle, die ebenfalls im Zusammenhang mit der Versendung von GIFs stand, entdeckt und bereits geschlossen.  

Diese Vorfälle zeigen, dass bei der Verwendung von Microsoft Teams, egal in welchem Kontext, stets Vorsicht geboten ist. Das Klicken auf Links sowie das Öffnen unbekannter Dateien sollte sorgfältig erfolgen und im Zweifelsfall lieber unterlassen werden. Ein gutes und bewusstes Computerbewusstsein sollte vorhanden und in Betrieben stets gefördert werden. Es sollte ebenfalls nicht auf begleitende Sicherheitsmaßnahmen verzichtet werden. Nur so kann die Gefahr der (unvorsichtigen) Installation einer untergejubelten, bösartigen Software und der daraus resultierenden Cyber-Angriffe zumindest reduziert werden.