Cet article fait partie de la série Fileless Malware. Toutes les autres parties de la série :
- (nous sommes ici)
Dans cette série d’articles, nous explorons les méthodes d’attaque qui nécessitent un minimum d’effort de la part des pirates. Dans le passé Nous avons expliqué qu'il était possible d'insérer le code lui-même dans la charge utile du champ automatique DDE dans Microsoft Word. En ouvrant un tel document joint à un email de phishing, un utilisateur imprudent permettra à l'attaquant de prendre pied sur son ordinateur. Cependant, fin 2017, Microsoft cette faille pour les attaques sur DDE.
Le correctif ajoute une entrée de registre qui désactive Fonctions DDE dans Word. Si vous avez toujours besoin de cette fonctionnalité, vous pouvez renvoyer cette option en activant les anciennes fonctionnalités DDE.
Cependant, le correctif original ne couvrait que Microsoft Word. Ces vulnérabilités DDE existent-elles dans d’autres produits Microsoft Office et pourraient également être exploitées dans le cadre d’attaques sans code ? Oui bien sûr. Par exemple, vous pouvez également les trouver dans Excel.
Nuit des Vivants DDE
Je me souviens de la dernière fois que je me suis arrêté à la description des scriptlets COM. Je promets que j'y reviendrai plus tard dans cet article.
En attendant, examinons un autre côté pervers du DDE dans la version Excel. Tout comme dans Word, certains fonctionnalités cachées de DDE dans Excel vous permettent d'exécuter du code sans trop d'effort. En tant qu'utilisateur de Word ayant grandi, je connaissais les champs, mais pas du tout les fonctions de DDE.
J'ai été étonné d'apprendre que dans Excel, je peux appeler un shell à partir d'une cellule comme indiqué ci-dessous :
Saviez-vous que c'était possible ? Personnellement, je ne le fais pas
Cette possibilité de lancer un shell Windows est une gracieuseté de DDE. Tu peux penser à bien d'autres choses
Applications auxquelles vous pouvez vous connecter à l’aide des fonctions DDE intégrées d’Excel.
Pensez-vous la même chose que moi ?
Laissez notre commande dans la cellule démarrer une session PowerShell qui télécharge et exécute ensuite le lien - ceci , que nous avons déjà utilisé auparavant. Voir ci-dessous:
Collez simplement un peu de PowerShell pour charger et exécuter du code à distance dans Excel
Mais il y a un hic : vous devez saisir explicitement ces données dans la cellule pour que cette formule fonctionne dans Excel. Comment un pirate informatique peut-il exécuter cette commande DDE à distance ? Le fait est que lorsqu'un tableau Excel est ouvert, Excel tentera de mettre à jour tous les liens dans DDE. Les paramètres du Trust Center ont depuis longtemps la possibilité de désactiver cette fonctionnalité ou d'avertir lors de la mise à jour des liens vers des sources de données externes.
Même sans les derniers correctifs, vous pouvez désactiver la mise à jour automatique des liens dans DDE
Microsoft lui-même à l'origine En 2017, les entreprises devraient désactiver les mises à jour automatiques des liens pour éviter les vulnérabilités DDE dans Word et Excel. En janvier 2018, Microsoft a publié des correctifs pour Excel 2007, 2010 et 2013 qui désactivent DDE par défaut. Ce Computerworld décrit tous les détails du correctif.
Eh bien, qu'en est-il des journaux d'événements ?
Microsoft a finalement abandonné DDE pour MS Word et Excel, admettant ainsi finalement que DDE ressemble plus à un bug qu'à une fonctionnalité. Si, pour une raison quelconque, vous n'avez pas encore installé ces correctifs, vous pouvez toujours réduire le risque d'attaque DDE en désactivant les mises à jour automatiques des liens et en activant les paramètres qui invitent les utilisateurs à mettre à jour les liens lors de l'ouverture de documents et de feuilles de calcul.
Maintenant, la question à un million de dollars : si vous êtes victime de cette attaque, les sessions PowerShell lancées à partir de champs Word ou de cellules Excel apparaîtront-elles dans le journal ?
Question : Les sessions PowerShell lancées via DDE sont-elles journalisées ? Réponse : oui
Lorsque vous exécutez des sessions PowerShell directement à partir d'une cellule Excel plutôt que sous forme de macro, Windows enregistre ces événements (voir ci-dessus). Dans le même temps, je ne peux pas prétendre qu’il sera facile pour l’équipe de sécurité de relier tous les points entre la session PowerShell, le document Excel et l’e-mail et de comprendre où l’attaque a commencé. J'y reviendrai dans le dernier article de ma série interminable sur les malwares insaisissables.
Comment est notre COM?
Dans le précédent J'ai abordé le sujet des scriptlets COM. Ils sont pratiques en eux-mêmes. , qui vous permet de transmettre du code, par exemple JScript, simplement en tant qu'objet COM. Mais ensuite, les scriptlets ont été découverts par des pirates informatiques, ce qui leur a permis de prendre pied sur l’ordinateur de la victime sans utiliser d’outils inutiles. Ce de Derbycon présente des outils Windows intégrés tels que regsrv32 et rundll32 qui acceptent des scriptlets distants comme arguments, et les pirates informatiques mènent essentiellement leur attaque sans l'aide de logiciels malveillants. Comme je l'ai montré la dernière fois, vous pouvez facilement exécuter des commandes PowerShell à l'aide d'un scriptlet JScript.
Il s'est avéré que l'un d'entre eux est très intelligent trouvé un moyen d'exécuter un scriptlet COM в Document Excel. Il a découvert que lorsqu'il essayait d'insérer un lien vers un document ou une image dans une cellule, un certain package y était inséré. Et ce package accepte discrètement un scriptlet distant en entrée (voir ci-dessous).
Boom! Une autre méthode furtive et silencieuse pour lancer un shell à l'aide de scriptlets COM
Après une inspection de bas niveau du code, le chercheur a découvert de quoi il s'agissait réellement. bug dans le logiciel du package. Il n'était pas prévu d'exécuter des scriptlets COM, mais uniquement de créer des liens vers des fichiers. Je ne sais pas s'il existe déjà un correctif pour cette vulnérabilité. Dans ma propre étude utilisant Amazon WorkSpaces avec Office 2010 préinstallé, j'ai pu reproduire les résultats. Cependant, lorsque j'ai réessayé un peu plus tard, cela n'a pas fonctionné.
J'espère vraiment vous avoir dit beaucoup de choses intéressantes et en même temps vous avoir montré que les pirates informatiques peuvent pénétrer dans votre entreprise d'une manière ou d'une autre de la même manière. Même si vous installez tous les derniers correctifs Microsoft, les pirates disposent toujours de nombreux outils pour prendre pied dans votre système, depuis les macros VBA avec lesquelles j'ai commencé cette série jusqu'aux charges utiles malveillantes dans Word ou Excel.
Dans le dernier article (je le promets) de cette saga, je parlerai de la manière de fournir une protection intelligente.
Source: habr.com