【社群媒體資安近況】
🎣🎣🎣資安專家發現駭侵者新手法,透過 Microsoft Teams 的 GIF 進行釣魚等多種攻擊🔪🔪🔪
獨立資安研究人員 Bobby Rauch 近期發現一種針對工作社群討論軟體 Microsoft Teams 的全新攻擊手法,可利用 Microsoft Teams 的一系列資安漏洞,透過特製 GIF 圖檔來發動釣魚攻擊、資料竊取等多種駭侵攻擊。
這種攻擊手法主要是利用一個稱為 GIFShell 的惡意軟體組件,利用 Microsoft Teams 一系列資安漏洞,在受害電腦中建立起「反向殼層」(Reverse Shell),並以此反向殼層來傳送夾帶惡意指令,以 base 64 編碼的 GIF 檔案。
Bobby Raush 是在今(2022)年 5 月到 6 月之間發現這種攻擊手法,並立即通報 Microsoft,不過根據資安專業媒體 BleepingComupter 的報導,Microsoft 並未立即修正可導致這種攻擊手法的一系列資安漏洞,而是指出這種攻擊手法的運用必須先要有用戶遭駭入,只要用戶能夠提高自己的資安防護能力與意識,該公司認為沒有立即危險,將會在未來的版本再行修復相關漏洞。
不論一般用途或工作使用的社群溝通軟體,建議用戶都應避免自不明連結下載安裝任何應用程式,也勿輕率點按不明連結,以降低遭這類攻擊鎖定的機率。
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-6514-f31bf-1.html
沒有留言:
張貼留言