Este artículo es parte de la serie Fileless Malware. Todas las demás partes de la serie:
- (estamos aquí)
En esta serie de artículos, exploramos métodos de ataque que requieren un esfuerzo mínimo por parte de los piratas informáticos. En el pasado Hemos cubierto que es posible insertar el código en la carga útil del campo automático DDE en Microsoft Word. Al abrir dicho documento adjunto a un correo electrónico de phishing, un usuario desprevenido permitirá que el atacante se afiance en su computadora. Sin embargo, a finales de 2017, Microsoft esta laguna jurídica para los ataques contra DDE.
La solución agrega una entrada de registro que deshabilita funciones DDE en palabra. Si aún necesita esta funcionalidad, puede devolver esta opción habilitando las capacidades DDE antiguas.
Sin embargo, el parche original sólo cubría Microsoft Word. ¿Existen estas vulnerabilidades DDE en otros productos de Microsoft Office que también podrían explotarse en ataques sin código? Si seguro. Por ejemplo, también puedes encontrarlos en Excel.
Noche de los Vivos DDE
Recuerdo que la última vez me detuve en la descripción de los scriptlets COM. Prometo que los abordaré más adelante en este artículo.
Mientras tanto, veamos otro lado malvado de DDE en la versión de Excel. Al igual que en Word, algunos características ocultas de DDE en Excel Le permite ejecutar código sin mucho esfuerzo. Como usuario de Word que crecí, estaba familiarizado con los campos, pero no con las funciones en DDE.
Me sorprendió saber que en Excel puedo llamar a un shell desde una celda como se muestra a continuación:
¿Sabías que esto era posible? Personalmente, yo no
Esta capacidad de iniciar un shell de Windows es cortesía de DDE. Puedes pensar en muchas otras cosas.
Aplicaciones a las que puede conectarse mediante las funciones DDE integradas de Excel.
¿Estás pensando lo mismo que yo?
Deje que nuestro comando en la celda inicie una sesión de PowerShell que luego descargue y ejecute el enlace: esto , que ya hemos usado antes. Vea abajo:
Simplemente pegue un poco de PowerShell para cargar y ejecutar código remoto en Excel
Pero hay un problema: debes ingresar explícitamente estos datos en la celda para que esta fórmula funcione en Excel. ¿Cómo puede un hacker ejecutar este comando DDE de forma remota? El hecho es que cuando se abre una tabla de Excel, Excel intentará actualizar todos los enlaces en DDE. La configuración del Centro de confianza ha tenido durante mucho tiempo la capacidad de desactivar esto o advertir al actualizar enlaces a fuentes de datos externas.
Incluso sin los últimos parches, puede desactivar la actualización automática de enlaces en DDE
Microsoft originalmente mismo En 2017, las empresas deberían desactivar las actualizaciones automáticas de enlaces para evitar vulnerabilidades DDE en Word y Excel. En enero de 2018, Microsoft lanzó parches para Excel 2007, 2010 y 2013 que desactivan DDE de forma predeterminada. Este Computerworld describe todos los detalles del parche.
Bueno, ¿qué pasa con los registros de eventos?
Sin embargo, Microsoft abandonó DDE para MS Word y Excel, reconociendo así finalmente que DDE se parece más a un error que a una funcionalidad. Si por alguna razón aún no ha instalado estos parches, aún puede reducir el riesgo de un ataque DDE deshabilitando las actualizaciones automáticas de enlaces y habilitando configuraciones que soliciten a los usuarios que actualicen los enlaces al abrir documentos y hojas de cálculo.
Ahora la pregunta del millón: si es víctima de este ataque, ¿aparecerán en el registro las sesiones de PowerShell iniciadas desde campos de Word o celdas de Excel?
Pregunta: ¿Se registran las sesiones de PowerShell iniciadas a través de DDE? Respuesta: si
Cuando ejecuta sesiones de PowerShell directamente desde una celda de Excel en lugar de como una macro, Windows registrará estos eventos (ver arriba). Al mismo tiempo, no puedo afirmar que será fácil para el equipo de seguridad conectar todos los puntos entre la sesión de PowerShell, el documento de Excel y el mensaje de correo electrónico y comprender dónde comenzó el ataque. Volveré a esto en el último artículo de mi interminable serie sobre el escurridizo malware.
¿Cómo es nuestro COM?
En el anterior Toqué el tema de los scriptlets COM. Son convenientes en sí mismos. , que le permite pasar código, digamos JScript, simplemente como un objeto COM. Pero luego los piratas informáticos descubrieron los scriptlets y esto les permitió afianzarse en la computadora de la víctima sin el uso de herramientas innecesarias. Este de Derbycon muestra herramientas integradas de Windows como regsrv32 y rundll32 que aceptan scriptlets remotos como argumentos, y los piratas informáticos esencialmente llevan a cabo su ataque sin la ayuda de malware. Como mostré la última vez, puedes ejecutar fácilmente comandos de PowerShell usando un scriptlet JScript.
Resultó que uno es muy inteligente. encontré una manera de ejecutar un scriptlet COM в Documento excel. Descubrió que cuando intentaba insertar un enlace a un documento o una imagen en una celda, se insertaba un determinado paquete en ella. Y este paquete acepta silenciosamente un scriptlet remoto como entrada (ver más abajo).
¡Auge! Otro método sigiloso y silencioso para iniciar un shell utilizando scriptlets COM
Después de una inspección de código de bajo nivel, el investigador descubrió qué es realmente error en el paquete de software. No estaba destinado a ejecutar scriptlets COM, sino sólo a vincular archivos. No estoy seguro de si ya existe un parche para esta vulnerabilidad. En mi propio estudio utilizando Amazon WorkSpaces con Office 2010 preinstalado, pude replicar los resultados. Sin embargo, cuando lo intenté de nuevo un poco más tarde, no funcionó.
Realmente espero haberles contado muchas cosas interesantes y al mismo tiempo haberles demostrado que los piratas informáticos pueden penetrar su empresa de una forma u otra similar. Incluso si instala todos los parches más recientes de Microsoft, los piratas informáticos todavía tienen muchas herramientas para afianzarse en su sistema, desde las macros de VBA con las que comencé esta serie hasta cargas útiles maliciosas en Word o Excel.
En el último (lo prometo) artículo de esta saga, hablaré sobre cómo brindar protección inteligente.
Fuente: habr.com