Ovaj članak je dio serije Malware bez datoteka. Svi ostali delovi serije:
- (mi smo tu)
U ovoj seriji članaka istražujemo metode napada koje zahtijevaju minimalan napor od strane hakera. U prošlosti Pokrili smo da je moguće umetnuti sam kod u DDE autofield payload u Microsoft Word-u. Otvaranjem takvog dokumenta priloženog phishing email-u, neoprezni korisnik će dozvoliti napadaču da se učvrsti na njegovom računaru. Međutim, krajem 2017. Microsoft ovu rupu za napade na DDE.
Popravka dodaje unos u registrator koji onemogućuje DDE funkcije u Wordu. Ako vam je i dalje potrebna ova funkcionalnost, možete vratiti ovu opciju tako što ćete omogućiti stare DDE mogućnosti.
Međutim, originalna zakrpa pokrivala je samo Microsoft Word. Postoje li ove DDE ranjivosti u drugim Microsoft Office proizvodima koji bi također mogli biti iskorišteni u napadima bez koda? Da naravno. Na primjer, možete ih pronaći i u Excelu.
Night of the Living DDE
Sjećam se da sam zadnji put stao na opisu COM skriptleta. Obećavam da ću do njih doći kasnije u ovom članku.
U međuvremenu, pogledajmo još jednu zlu stranu DDE-a u Excel verziji. Baš kao u Wordu, neke skrivene karakteristike DDE-a u Excel-u omogućavaju izvršavanje koda bez mnogo napora. Kao korisnik Worda koji je odrastao, bio sam upoznat s poljima, ali uopće ne s funkcijama u DDE-u.
Bio sam zapanjen kada sam saznao da u Excelu mogu pozvati ljusku iz ćelije kao što je prikazano u nastavku:
Jeste li znali da je to moguće? Lično, ne znam
Ova mogućnost pokretanja Windows ljuske je zahvaljujući DDE-u. Možete misliti na mnoge druge stvari
Aplikacije na koje se možete povezati pomoću ugrađenih DDE funkcija programa Excel.
Da li i ti misliš isto što i ja?
Neka naša naredba unutar ćelije pokrene PowerShell sesiju koja zatim preuzima i izvršava vezu - ovo , koji smo već ranije koristili. Pogledajte ispod:
Samo zalijepite malo PowerShell-a da učitate i pokrenete udaljeni kod u Excelu
Ali postoji kvaka: morate eksplicitno unijeti ove podatke u ćeliju da bi ova formula funkcionirala u Excelu. Kako haker može daljinski izvršiti ovu DDE komandu? Činjenica je da kada je Excel tabela otvorena, Excel će pokušati da ažurira sve veze u DDE. Postavke centra za pouzdanost već dugo imaju mogućnost da ovo onemoguće ili da upozore prilikom ažuriranja veza do vanjskih izvora podataka.
Čak i bez najnovijih zakrpa, možete onemogućiti automatsko ažuriranje veza u DDE-u
Microsoft originalno sam Kompanije bi u 2017. godini trebale onemogućiti automatska ažuriranja veza kako bi spriječile DDE ranjivosti u Wordu i Excelu. U januaru 2018. Microsoft je objavio zakrpe za Excel 2007, 2010 i 2013 koje onemogućavaju DDE prema zadanim postavkama. Ovo Computerworld opisuje sve detalje zakrpe.
Pa, šta je sa zapisnicima događaja?
Microsoft je ipak napustio DDE za MS Word i Excel, čime je konačno prepoznao da DDE više liči na grešku nego na funkcionalnost. Ako iz nekog razloga još niste instalirali ove zakrpe, još uvijek možete smanjiti rizik od DDE napada tako što ćete onemogućiti automatsko ažuriranje veza i omogućiti postavke koje podstiču korisnike da ažuriraju veze prilikom otvaranja dokumenata i proračunskih tablica.
Sada pitanje od milion dolara: Ako ste žrtva ovog napada, hoće li se PowerShell sesije pokrenute iz Word polja ili Excel ćelija pojaviti u dnevniku?
Pitanje: Da li se PowerShell sesije pokrenute putem DDE-a evidentiraju? Odgovor: da
Kada pokrenete PowerShell sesije direktno iz Excel ćelije, a ne kao makro, Windows će evidentirati ove događaje (pogledajte gore). U isto vrijeme, ne mogu tvrditi da će sigurnosnom timu biti lako da poveže sve tačke između PowerShell sesije, Excel dokumenta i poruke e-pošte i shvati gdje je napad počeo. Vratit ću se na ovo u posljednjem članku u mojoj beskrajnoj seriji o neuhvatljivom zlonamjernom softveru.
Kako je naš COM?
U prethodnom Dotaknuo sam se teme COM skriptleta. One su same po sebi zgodne. , koji vam omogućava da prosledite kod, recimo JScript, jednostavno kao COM objekat. Ali tada su skriptete otkrili hakeri i to im je omogućilo da se učvrste na računaru žrtve bez upotrebe nepotrebnih alata. Ovo from Derbycon demonstrira ugrađene Windows alate kao što su regsrv32 i rundll32 koji prihvataju udaljene skriptlete kao argumente, a hakeri u suštini izvode svoj napad bez pomoći zlonamjernog softvera. Kao što sam pokazao prošli put, možete lako pokrenuti PowerShell komande koristeći JScript skriptlet.
Ispostavilo se da je jedan veoma pametan pronašao način za pokretanje COM skriptleta в Excel dokument. Otkrio je da kada je pokušao da umetne link do dokumenta ili slike u ćeliju, u nju je umetnut određeni paket. I ovaj paket tiho prihvata udaljeni skriptlet kao ulaz (pogledajte ispod).
Boom! Još jedna prikrivena, tiha metoda za pokretanje ljuske pomoću COM skriptleta
Nakon inspekcije koda na niskom nivou, istraživač je otkrio o čemu se zapravo radi bug u softverskom paketu. Nije bio namijenjen za pokretanje COM skriptleta, već samo za povezivanje s datotekama. Nisam siguran da li već postoji zakrpa za ovu ranjivost. U sopstvenoj studiji koristeći Amazon WorkSpaces sa unapred instaliranim Office 2010, uspeo sam da ponovim rezultate. Međutim, kada sam malo kasnije pokušao ponovo, nije išlo.
Zaista se nadam da sam vam rekao puno zanimljivih stvari i istovremeno pokazao da hakeri mogu prodrijeti u vašu kompaniju na ovaj ili onaj sličan način. Čak i ako instalirate sve najnovije Microsoft zakrpe, hakeri i dalje imaju mnogo alata da steknu uporište u vašem sistemu, od VBA makroa sa kojima sam započeo ovu seriju do zlonamernih korisnih podataka u Wordu ili Excelu.
U završnom (obećavam) članku u ovoj sagi, govorit ću o tome kako pružiti pametnu zaštitu.
izvor: www.habr.com