Bu məqalə Faylsız Zərərli Proqramlar seriyasının bir hissəsidir. Seriyanın bütün digər hissələri:
- (biz buradayıq)
Bu məqalələr silsiləsində biz hakerlərdən minimal səy tələb edən hücum üsullarını araşdırırıq. Keçmişdə Biz qeyd etdik ki, kodun özünü Microsoft Word-də DDE avtomatik sahə yükünə yapışdırmaq mümkündür. Fişinq e-poçtuna əlavə edilmiş belə bir sənədi açmaqla, ehtiyatsız istifadəçi təcavüzkarın kompüterində yer almasına imkan verəcək. Bununla belə, 2017-ci ilin sonunda Microsoft DDE-yə hücumlar üçün bu boşluq.
Düzəliş, aradan buraxan bir qeyd qeydini əlavə edir DDE funksiyaları Word-də. Bu funksiyaya hələ də ehtiyacınız varsa, köhnə DDE imkanlarını işə salmaqla bu seçimi qaytara bilərsiniz.
Bununla belə, orijinal yamaq yalnız Microsoft Word-ü əhatə edirdi. Bu DDE zəiflikləri digər Microsoft Office məhsullarında da mövcuddurmu ki, onlardan kodsuz hücumlarda da istifadə oluna bilər? Bəli əminəm. Məsələn, siz onları Excel-də də tapa bilərsiniz.
Yaşayan Gecə DDE
Xatırlayıram ki, sonuncu dəfə COM skriptlərinin təsvirində dayanmışdım. Söz verirəm ki, bu məqalədə daha sonra onlara çatacağam.
Bu arada Excel versiyasında DDE-nin başqa bir pis tərəfinə baxaq. Word-də olduğu kimi, bəziləri Excel-də DDE-nin gizli xüsusiyyətləri çox səy göstərmədən kodu icra etməyə imkan verir. Böyüyən bir Word istifadəçisi olaraq sahələrlə tanış idim, lakin DDE-dəki funksiyalar haqqında heç də yox.
Excel-də aşağıda göstərildiyi kimi hüceyrədən qabıq çağıra biləcəyimi öyrənəndə heyrətləndim:
Bunun mümkün olduğunu bilirdinizmi? Şəxsən mən yox
Windows qabığını işə salmaq imkanı DDE-nin nəzakətidir. Bir çox başqa şeylər haqqında düşünə bilərsiniz
Excel-in daxili DDE funksiyalarından istifadə edərək qoşula biləcəyiniz proqramlar.
Mənim düşündüyümlə eyni şeyi düşünürsən?
Hüceyrədaxili əmrimizə PowerShell seansına başlamağa icazə verin, sonra linki endirir və icra edir - bu , daha əvvəl istifadə etdiyimiz. Aşağıya baxın:
Excel-də uzaqdan kodu yükləmək və işlətmək üçün sadəcə bir az PowerShell yapışdırın
Ancaq bir məqam var: Excel-də bu formulun işləməsi üçün bu məlumatları açıq şəkildə hüceyrəyə daxil etməlisiniz. Haker bu DDE əmrini uzaqdan necə yerinə yetirə bilər? Fakt budur ki, Excel cədvəli açıq olduqda, Excel DDE-dəki bütün bağlantıları yeniləməyə çalışacaq. Etibar Mərkəzinin parametrləri çoxdan bunu söndürmək və ya xarici məlumat mənbələrinə keçidləri yeniləyərkən xəbərdarlıq etmək imkanına malikdir.
Ən son yamaqlar olmasa belə, DDE-də avtomatik keçid yeniləməsini söndürə bilərsiniz
Microsoft əvvəlcə özü 2017-ci ildə şirkətlər Word və Excel-də DDE boşluqlarının qarşısını almaq üçün avtomatik keçid yeniləmələrini söndürməlidirlər. 2018-ci ilin yanvar ayında Microsoft Excel 2007, 2010 və 2013 üçün DDE-ni defolt olaraq söndürən yamaqlar buraxdı. Bu Computerworld yamağın bütün detallarını təsvir edir.
Yaxşı, hadisə qeydləri haqqında nə demək olar?
Microsoft buna baxmayaraq, MS Word və Excel üçün DDE-dən imtina etdi və bununla da nəhayət DDE-nin funksionallıqdan daha çox səhv kimi olduğunu başa düşdü. Əgər nədənsə bu yamaqları hələ quraşdırmamısınızsa, avtomatik keçid yeniləmələrini söndürməklə və sənədləri və cədvəlləri açarkən istifadəçiləri linkləri yeniləməyi təklif edən parametrləri aktivləşdirməklə DDE hücumu riskini azalda bilərsiniz.
İndi milyon dollarlıq sual: Bu hücumun qurbanı olsanız, Word sahələrindən və ya Excel hüceyrələrindən işə salınan PowerShell seansları jurnalda görünəcəkmi?
Sual: DDE vasitəsilə işə salınan PowerShell seansları qeyd olunurmu? Cavab: bəli
PowerShell seanslarını makro kimi deyil, birbaşa Excel xanasından işlətdiyiniz zaman Windows bu hadisələri qeyd edəcək (yuxarıya baxın). Eyni zamanda, mən iddia edə bilmərəm ki, təhlükəsizlik komandası daha sonra PowerShell sessiyası, Excel sənədi və e-poçt mesajı arasında bütün nöqtələri birləşdirərək hücumun haradan başladığını başa düşə bilər. Tutulmayan zərərli proqram haqqında heç vaxt bitməyən seriyamın son məqaləsində buna qayıdacağam.
COM-umuz necədir?
Əvvəlkidə COM skriptləri mövzusuna toxundum. Özlərində rahatdırlar. , bu sizə kodu ötürməyə imkan verir, JScript deyin, sadəcə COM obyekti kimi. Lakin sonra skriptlər hakerlər tərəfindən aşkar edildi və bu, onlara lazımsız alətlərdən istifadə etmədən qurbanın kompüterində yer tutmağa imkan verdi. Bu from Derbycon uzaq skriptləri arqument kimi qəbul edən regsrv32 və rundll32 kimi daxili Windows alətlərini nümayiş etdirir və hakerlər əslində zərərli proqramların köməyi olmadan öz hücumlarını həyata keçirirlər. Keçən dəfə göstərdiyim kimi, siz JScript skriptindən istifadə edərək PowerShell əmrlərini asanlıqla işlədə bilərsiniz.
Məlum oldu ki, biri çox ağıllıdır COM skriptini işə salmağın bir yolunu tapdı в Excel sənədi. O, xanaya sənədin və ya şəklin keçidini daxil etmək istəyərkən ona müəyyən paketin daxil edildiyini aşkar edib. Və bu paket səssizcə uzaqdan skripleti giriş kimi qəbul edir (aşağıya bax).
Partlama! COM skriptlərindən istifadə edərək qabığı işə salmaq üçün başqa bir gizli, səssiz üsul
Aşağı səviyyəli kod yoxlamasından sonra tədqiqatçı bunun əslində nə olduğunu öyrəndi səhv paket proqramında. O, COM skriptlərini işə salmaq üçün deyil, yalnız fayllara keçid üçün nəzərdə tutulmuşdu. Bu zəiflik üçün artıq yamağın olub olmadığına əmin deyiləm. Əvvəlcədən quraşdırılmış Office 2010 ilə Amazon WorkSpaces-dən istifadə edərək öz tədqiqatımda nəticələri təkrarlaya bildim. Ancaq bir az sonra yenidən cəhd etsəm də, alınmadı.
Ümid edirəm ki, sizə çox maraqlı şeylər söylədim və eyni zamanda hakerlərin şirkətinizə bu və ya digər oxşar şəkildə nüfuz edə biləcəyini göstərdim. Bütün ən son Microsoft yamaqlarını quraşdırsanız belə, hakerlər sisteminizdə möhkəmlənmək üçün hələ də bir çox alətə malikdirlər, bu seriyaya başladığım VBA makrolarından Word və ya Excel-də zərərli yüklərə qədər.
Bu dastandakı son (söz verirəm) məqaləsində ağıllı qorunmanın necə təmin ediləcəyi haqqında danışacağam.
Mənbə: www.habr.com