米国時間2022年9月12日New GIFShell Attack Targets Microsoft Teams(eSecurityPlanet)で、セキュリティ専門家のBoddy Rauch氏によって「GIF画像を悪用した新たな攻撃チェーンが発見された」と発表されました。
この攻撃は「GIFShell」と名付けられ、Microsoft Teamsをターゲットとしてマシン上で任意のコマンドを実行するとされています。
「GIFShell」の主な特徴は次の通り。
- メインコンポーネントは、非表示のPythonスクリプトを含むGIF画像
- リバースシェルを作成するため、Microsoft Teamsのユーザーに送信される
- マイクロソフト正規のインフラを悪用することでセキュリティ制御を回避
- 無害に見せかけた画像に含まれた悪意あるスクリプトにより、重要なデータが搾取される
「GIFShell」の回避方法として、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしないこととされています。
しかし、ソーシャルエンジニアや別のアプリケーションを利用せずとも、Microsoft Teamsを介して非常に説得力のあるフィッシング添付ファイルを被害者に送信できるとのことで、「ユーザーが事前に選別するのは難しい」とRauch氏は警告しています。
こうした一連の脆弱性は、2022年6月に既にマイクロソフトに報告されていましたが、マイクロソフト側では「調査が即時サービスの基準を満たしていない」と判断し、現時点では修正が優先されていません。
そこでRanch氏は、次の緩和策を推奨しています。
- 不明な外部送信者からの添付ファイルをクリックしないように、ユーザーがトレーニングを受けていることを確認
- Microsoft Defender for Office 365 に安全な添付ファイル ポリシーを実装し、Drive – By download 攻撃を防止
- SMB 署名を有効にするか、NTLM を完全に無効にして、NTLM 攻撃を防ぐのに役立つ複雑なパスワード ポリシーを設定
オンライン会議システムとしては、ライバルサービスのZoomよりは比較的企業が導入していることの多いMicrosoft Teamsを攻撃対象とした今回の「GIFShell」。
Microsoft Teamsを利用している企業は、この機会に改めて使用者全体のリテラシーを確かめるとともに、企業としてのセキュリティ対策を見直してみることをおすすめします。
また、この件に関しては更に詳細な続報などが入れば、改めて本サイトでもご紹介します。
