Tabamatu pahavara seiklused, V osa: veelgi rohkem DDE- ja COM-skripte

See artikkel on osa failivaba pahavara sarjast. Kõik teised sarja osad:

• Tabamatu pahavara seiklused, I osa
• Tabamatu pahavara seiklused, II osa: salajased VBA skriptid
• Tabamatu pahavara seiklused, III osa: segased VBA-skriptid naeru ja kasumi saamiseks
• Tabamatu pahavara seiklused, IV osa: DDE ja Wordi dokumendiväljad
• Tabamatu pahavara seiklused, V osa: veelgi rohkem DDE- ja COM-skripte (Me oleme siin)

Selles artiklite sarjas uurime ründemeetodeid, mis nõuavad häkkeritelt minimaalset pingutust. Minevikus siit Oleme käsitlenud, et koodi on võimalik sisestada Microsoft Wordi DDE automaatvälja kasulikku koormusse. Avades sellise andmepüügimeilile lisatud dokumendi, võimaldab ettevaatamatu kasutaja ründajal oma arvutis jalad alla saada. Kuid 2017. aasta lõpus Microsoft suletud see lünk DDE rünnakute jaoks.
Parandus lisab registrikirje, mis keelab DDE funktsioonid Wordis. Kui teil on seda funktsiooni endiselt vaja, saate selle võimaluse taastada, lubades vanad DDE-võimalused.

Algne plaaster hõlmas aga ainult Microsoft Wordi. Kas need DDE haavatavused on olemas ka teistes Microsoft Office'i toodetes, mida saab ära kasutada ka koodita rünnakutes? Jah muidugi. Näiteks leiate need ka Excelist.

Elamise öö DDE

Mäletan, et viimati peatusin COM-i skriptide kirjeldusel. Luban, et käsitlen neid hiljem selles artiklis.

Seniks aga vaatame veel ühte DDE kurja külge Exceli versioonis. Täpselt nagu Wordis, mõned DDE peidetud funktsioonid Excelis võimaldab teil koodi käivitada ilma suurema vaevata. Suureks kasvanud Wordi kasutajana tundsin väljad, kuid mitte üldse DDE funktsioonid.

Olin üllatunud, kui sain teada, et Excelis saan kutsuda kesta lahtrist, nagu allpool näidatud:

Kas teadsite, et see on võimalik? Mina isiklikult mitte

See on kesta käivitamise valik. Windows DDE lahkelt meile edastatud. Me võime mõelda paljudele teistelegi pr-idele
Rakendused, millega saate ühenduse luua, kasutades Exceli sisseehitatud DDE-funktsioone.
Kas sa mõtled sama, mida mina?

Laske meie lahtrisisesel käsul käivitada PowerShelli seanss, mis seejärel laadib alla ja käivitab lingi – see прием, mida oleme juba varem kasutanud. Vaata allpool:

Lihtsalt kleepige veidi PowerShelli, et laadida ja käivitada Excelis kaugkood

Kuid sellel on konks: selleks, et see valem Excelis töötaks, peate need andmed lahtrisse selgesõnaliselt sisestama. Kuidas saab häkker seda DDE-käsku kaugjuhtimisega täita? Fakt on see, et kui Exceli tabel on avatud, proovib Excel värskendada kõiki DDE linke. Usalduskeskuse seadetes on pikka aega olnud võimalus seda keelata või väliste andmeallikate linkide värskendamisel hoiatada.

Isegi ilma uusimate paikadeta saate DDE-s linkide automaatse värskendamise keelata

Microsoft algselt ise soovitas Ettevõtted peaksid 2017. aastal keelama automaatsed linkide värskendused, et vältida Wordi ja Exceli DDE haavatavusi. 2018. aasta jaanuaris andis Microsoft välja paigad Excel 2007, 2010 ja 2013 jaoks, mis keelavad vaikimisi DDE. See artikkel Computerworld kirjeldab kõiki plaastri üksikasju.

Aga sündmuste logid?

Microsoft loobus siiski DDE-st MS Wordi ja Exceli jaoks, tunnistades sellega lõpuks, et DDE on pigem viga kui funktsionaalsus. Kui te pole mingil põhjusel neid plaastreid veel installinud, saate siiski vähendada DDE rünnaku ohtu, keelates linkide automaatsed värskendused ja lubades seaded, mis paluvad kasutajatel dokumentide ja arvutustabelite avamisel linke värskendada.

Nüüd miljoni dollari küsimus: kui olete selle rünnaku ohver, kas Wordi väljadelt või Exceli rakkudest käivitatud PowerShelli seansid kuvatakse logis?

Küsimus: kas DDE kaudu käivitatud PowerShelli seansid logitakse? Vastus: jah

Kui käivitate PowerShelli seansse otse Exceli lahtrist, mitte makrona, Windows logib need sündmused (vt eespool). Ma ei väida aga, et turvateenustel oleks lihtne PowerShelli seansi, Exceli dokumendi ja meilisõnumi vahelisi punkte ühendada ning välja selgitada, kust rünnak alguse sai. Ma tulen selle juurde tagasi oma lõputu tabamatu pahavara käsitleva sarja viimases artiklis.

Kuidas meie KOM on?

Eelmises siit Ma puudutasin COM-i skriptide teemat. Need on iseenesest mugavad. tehnoloogia, mis võimaldab edastada koodi, näiteks JScripti, lihtsalt COM-objektina. Kuid siis avastasid häkkerid skriptid ja see võimaldas neil ohvri arvutis jalad alla saada ilma tarbetuid tööriistu kasutamata. See video Derbyconi konverents demonstreerib sisseehitatud tööriistu Windows, näiteks regsrv32 ja rundll32, mis aktsepteerivad argumentidena kaugskriptlette, võimaldades häkkeritel oma rünnakuid sisuliselt ilma pahavara abita läbi viia. Nagu ma eelmisel korral demonstreerisin, saate PowerShelli käske hõlpsalt käivitada JScripti skriptleti abil.

Selgus, et üks on väga tark uurija leidnud viisi COM-skripti käivitamiseks в Exceli dokument. Ta avastas, et kui ta üritas lahtrisse sisestada dokumendi või pildi linki, sisestati sellesse teatud pakett. Ja see pakett võtab vaikselt sisendiks vastu kaugskripti (vt allpool).

buum! Veel üks varjatud ja vaikne meetod kesta käivitamiseks COM-i skriptide abil

Pärast madala taseme koodi kontrollimist sai uurija teada, millega see tegelikult on viga paketi tarkvaras. See ei olnud mõeldud COM-i skriptide käivitamiseks, vaid ainult failidele linkimiseks. Ma pole kindel, kas selle haavatavuse jaoks on juba plaaster olemas. Minu enda uuringus, kus kasutasin Amazon WorkSpacesi koos eelinstallitud Office 2010-ga, suutsin tulemusi korrata. Kui aga veidi hiljem uuesti proovisin, siis see ei õnnestunud.

Loodan väga, et rääkisin teile palju huvitavat ja samal ajal näitasin, et häkkerid võivad ühel või teisel sarnasel viisil teie ettevõttesse tungida. Isegi kui installite kõik uusimad Microsofti paigad, on häkkeritel endiselt palju tööriistu teie süsteemis kanda kinnitamiseks, alates VBA makrodest, millega seda seeriat alustasin, kuni pahatahtlike kasulike koormusteni Wordis või Excelis.

Selle saaga viimases (ma luban) artiklis räägin sellest, kuidas pakkuda nutikat kaitset.

Allikas: www.habr.com