See artikkel on osa failivaba pahavara sarjast. Kõik teised sarja osad:
- (Me oleme siin)
Selles artiklite sarjas uurime ründemeetodeid, mis nõuavad häkkeritelt minimaalset pingutust. Minevikus Oleme käsitlenud, et koodi on võimalik sisestada Microsoft Wordi DDE automaatvälja kasulikku koormusse. Avades sellise andmepüügimeilile lisatud dokumendi, võimaldab ettevaatamatu kasutaja ründajal oma arvutis jalad alla saada. Kuid 2017. aasta lõpus Microsoft see lünk DDE rünnakute jaoks.
Parandus lisab registrikirje, mis keelab DDE funktsioonid Wordis. Kui teil on seda funktsiooni endiselt vaja, saate selle võimaluse taastada, lubades vanad DDE-võimalused.
Algne plaaster hõlmas aga ainult Microsoft Wordi. Kas need DDE haavatavused on olemas ka teistes Microsoft Office'i toodetes, mida saab ära kasutada ka koodita rünnakutes? Jah muidugi. Näiteks leiate need ka Excelist.
Elamise öö DDE
Mäletan, et viimati peatusin COM-i skriptide kirjeldusel. Luban, et käsitlen neid hiljem selles artiklis.
Seniks aga vaatame veel ühte DDE kurja külge Exceli versioonis. Täpselt nagu Wordis, mõned DDE peidetud funktsioonid Excelis võimaldab teil koodi käivitada ilma suurema vaevata. Suureks kasvanud Wordi kasutajana tundsin väljad, kuid mitte üldse DDE funktsioonid.
Olin üllatunud, kui sain teada, et Excelis saan kutsuda kesta lahtrist, nagu allpool näidatud:
Kas teadsite, et see on võimalik? Mina isiklikult mitte
See Windowsi kesta käivitamise võimalus on tänu DDE-le. Võite mõelda paljudele muudele asjadele
Rakendused, millega saate ühenduse luua, kasutades Exceli sisseehitatud DDE-funktsioone.
Kas sa mõtled sama, mida mina?
Laske meie lahtrisisesel käsul käivitada PowerShelli seanss, mis seejärel laadib alla ja käivitab lingi – see , mida oleme juba varem kasutanud. Vaata allpool:
Lihtsalt kleepige veidi PowerShelli, et laadida ja käivitada Excelis kaugkood
Kuid sellel on konks: selleks, et see valem Excelis töötaks, peate need andmed lahtrisse selgesõnaliselt sisestama. Kuidas saab häkker seda DDE-käsku kaugjuhtimisega täita? Fakt on see, et kui Exceli tabel on avatud, proovib Excel värskendada kõiki DDE linke. Usalduskeskuse seadetes on pikka aega olnud võimalus seda keelata või väliste andmeallikate linkide värskendamisel hoiatada.
Isegi ilma uusimate paikadeta saate DDE-s linkide automaatse värskendamise keelata
Microsoft algselt ise Ettevõtted peaksid 2017. aastal keelama automaatsed linkide värskendused, et vältida Wordi ja Exceli DDE haavatavusi. 2018. aasta jaanuaris andis Microsoft välja paigad Excel 2007, 2010 ja 2013 jaoks, mis keelavad vaikimisi DDE. See Computerworld kirjeldab kõiki plaastri üksikasju.
Aga sündmuste logid?
Microsoft loobus siiski DDE-st MS Wordi ja Exceli jaoks, tunnistades sellega lõpuks, et DDE on pigem viga kui funktsionaalsus. Kui te pole mingil põhjusel neid plaastreid veel installinud, saate siiski vähendada DDE rünnaku ohtu, keelates linkide automaatsed värskendused ja lubades seaded, mis paluvad kasutajatel dokumentide ja arvutustabelite avamisel linke värskendada.
Nüüd miljoni dollari küsimus: kui olete selle rünnaku ohver, kas Wordi väljadelt või Exceli rakkudest käivitatud PowerShelli seansid kuvatakse logis?
Küsimus: kas DDE kaudu käivitatud PowerShelli seansid logitakse? Vastus: jah
Kui käivitate PowerShelli seansse otse Exceli lahtrist, mitte makrona, logib Windows need sündmused (vt ülal). Samal ajal ei saa ma väita, et turvameeskonnal on lihtne ühendada kõik punktid PowerShelli seansi, Exceli dokumendi ja meilisõnumi vahel ning mõista, kust rünnak alguse sai. Tulen selle juurde tagasi oma tabamatut pahavara käsitleva lõputu seeria viimases artiklis.
Kuidas meie KOM on?
Eelmises Ma puudutasin COM-i skriptide teemat. Need on iseenesest mugavad. , mis võimaldab edastada koodi, näiteks JScripti, lihtsalt COM-objektina. Kuid siis avastasid häkkerid skriptid ja see võimaldas neil ohvri arvutis jalad alla saada ilma tarbetuid tööriistu kasutamata. See Derbycon demonstreerib sisseehitatud Windowsi tööriistu, nagu regsrv32 ja rundll32, mis aktsepteerivad argumentidena kaugskripte ning häkkerid sooritavad oma rünnaku sisuliselt ilma pahavara abita. Nagu ma eelmisel korral näitasin, saate PowerShelli käske hõlpsalt käivitada JScripti skriptileti abil.
Selgus, et üks on väga tark leidnud viisi COM-skripti käivitamiseks в Exceli dokument. Ta avastas, et kui ta üritas lahtrisse sisestada dokumendi või pildi linki, sisestati sellesse teatud pakett. Ja see pakett võtab vaikselt sisendiks vastu kaugskripti (vt allpool).
buum! Veel üks varjatud ja vaikne meetod kesta käivitamiseks COM-i skriptide abil
Pärast madala taseme koodi kontrollimist sai uurija teada, millega see tegelikult on viga paketi tarkvaras. See ei olnud mõeldud COM-i skriptide käivitamiseks, vaid ainult failidele linkimiseks. Ma pole kindel, kas selle haavatavuse jaoks on juba plaaster olemas. Minu enda uuringus, kus kasutasin Amazon WorkSpacesi koos eelinstallitud Office 2010-ga, suutsin tulemusi korrata. Kui aga veidi hiljem uuesti proovisin, siis see ei õnnestunud.
Loodan väga, et rääkisin teile palju huvitavat ja samal ajal näitasin, et häkkerid võivad ühel või teisel sarnasel viisil teie ettevõttesse tungida. Isegi kui installite kõik uusimad Microsofti paigad, on häkkeritel endiselt palju tööriistu teie süsteemis kanda kinnitamiseks, alates VBA makrodest, millega seda seeriat alustasin, kuni pahatahtlike kasulike koormusteni Wordis või Excelis.
Selle saaga viimases (ma luban) artiklis räägin sellest, kuidas pakkuda nutikat kaitset.
Allikas: www.habr.com