Este artigo forma parte da serie Fileless Malware. Todas as demais partes da serie:
- (estamos aquí)
Nesta serie de artigos, exploramos métodos de ataque que requiren un esforzo mínimo por parte dos hackers. No pasado Cubrimos que é posible inserir o propio código na carga útil do campo automático DDE en Microsoft Word. Ao abrir un documento deste tipo anexo a un correo electrónico de phishing, un usuario incauto permitirá que o atacante se afiance no seu ordenador. Non obstante, a finais de 2017, Microsoft esta brecha para ataques contra DDE.
A corrección engade unha entrada de rexistro que desactiva Funcións DDE en Word. Se aínda necesitas esta funcionalidade, podes devolver esta opción activando as antigas capacidades DDE.
Non obstante, o parche orixinal só cubría Microsoft Word. Existen estas vulnerabilidades DDE noutros produtos de Microsoft Office que tamén poderían ser explotados en ataques sen código? Si, seguro. Por exemplo, tamén podes atopalos en Excel.
Noite dos Vivos DDE
Lembro que a última vez que me parei na descrición dos scriptlets COM. Prometo que chegarei a eles máis adiante neste artigo.
Mentres tanto, vexamos outro lado malvado de DDE na versión de Excel. Igual que en Word, algúns características ocultas de DDE en Excel permítelle executar código sen moito esforzo. Como usuario de Word que crecín, estaba familiarizado cos campos, pero non sobre as funcións en DDE.
Sorprendeume saber que en Excel podo chamar a un shell desde unha cela como se mostra a continuación:
Sabías que isto era posible? Persoalmente, non
Esta capacidade de lanzar un shell de Windows é cortesía de DDE. Podes pensar noutras moitas cousas
Aplicacións ás que pode conectarse mediante as funcións DDE integradas de Excel.
Estás pensando o mesmo que eu estou pensando?
Deixa que o noso comando na cela inicie unha sesión de PowerShell que despois descarga e executa a ligazón: isto , que xa usamos antes. Ver abaixo:
Só tes que pegar un pouco de PowerShell para cargar e executar código remoto en Excel
Pero hai un problema: debes introducir explícitamente estes datos na cela para que esta fórmula funcione en Excel. Como pode un hacker executar este comando DDE de forma remota? O feito é que cando unha táboa de Excel está aberta, Excel tentará actualizar todas as ligazóns en DDE. A configuración do Centro de confianza ten desde hai tempo a posibilidade de desactivar isto ou de avisar cando se actualizan ligazóns a fontes de datos externas.
Aínda sen os últimos parches, pode desactivar a actualización automática de ligazóns en DDE
Microsoft orixinalmente As empresas en 2017 deberían desactivar as actualizacións automáticas de ligazóns para evitar vulnerabilidades DDE en Word e Excel. En xaneiro de 2018, Microsoft lanzou parches para Excel 2007, 2010 e 2013 que desactivan DDE por defecto. Isto Computerworld describe todos os detalles do parche.
Ben, que pasa cos rexistros de eventos?
Non obstante, Microsoft abandonou o DDE para MS Word e Excel, polo que finalmente recoñeceu que DDE é máis un erro que unha funcionalidade. Se por algún motivo aínda non instalou estes parches, aínda pode reducir o risco dun ataque DDE desactivando as actualizacións automáticas de ligazóns e activando as opcións de configuración que soliciten aos usuarios que actualicen as ligazóns ao abrir documentos e follas de cálculo.
Agora a pregunta do millón de dólares: se es vítima deste ataque, aparecerán no rexistro as sesións de PowerShell iniciadas desde campos de Word ou celas de Excel?
Pregunta: ¿Están rexistradas as sesións de PowerShell a través de DDE? Resposta: si
Cando executa sesións de PowerShell directamente desde unha cela de Excel e non como macro, Windows rexistrará estes eventos (ver arriba). Ao mesmo tempo, non podo afirmar que será doado para o equipo de seguridade conectar todos os puntos entre a sesión de PowerShell, o documento de Excel e a mensaxe de correo electrónico e comprender onde comezou o ataque. Volverei sobre isto no último artigo da miña interminable serie sobre o esquivo malware.
Como é o noso COM?
No anterior Toquei o tema dos scriptlets COM. Son convenientes en si mesmos. , que che permite pasar código, digamos JScript, simplemente como un obxecto COM. Pero despois os scriptlets foron descubertos por piratas informáticos, e iso permitiulles afianzarse no ordenador da vítima sen o uso de ferramentas innecesarias. Isto de Derbycon demostra ferramentas integradas de Windows como regsrv32 e rundll32 que aceptan scriptlets remotos como argumentos, e os hackers realizan esencialmente o seu ataque sen a axuda de malware. Como mostrei a última vez, pode executar facilmente comandos de PowerShell usando un scriptlet JScript.
Resultou que un é moi intelixente atopou un xeito de executar un scriptlet COM в documento excel. Descubriu que cando tentaba inserir unha ligazón a un documento ou imaxe nunha cela, inseriuse nela un determinado paquete. E este paquete acepta silenciosamente un scriptlet remoto como entrada (ver máis abaixo).
Estrondo! Outro método furtivo e silencioso para lanzar un shell usando scriptlets COM
Despois dunha inspección de código de baixo nivel, o investigador descubriu o que realmente é erro no paquete de software. Non estaba pensado para executar scriptlets COM, senón só para ligar a ficheiros. Non estou seguro de se xa hai un parche para esta vulnerabilidade. No meu propio estudo utilizando Amazon WorkSpaces con Office 2010 preinstalado, puiden replicar os resultados. Non obstante, cando tentei de novo un pouco máis tarde, non funcionou.
Realmente espero contarche moitas cousas interesantes e ao mesmo tempo demostrar que os hackers poden penetrar na túa empresa dun ou doutro xeito similar. Aínda que instales todos os últimos parches de Microsoft, os piratas informáticos aínda teñen moitas ferramentas para afianzarse no teu sistema, desde as macros VBA coas que comecei esta serie ata cargas útiles maliciosas en Word ou Excel.
No artigo final (prométoo) desta saga, falarei de como proporcionar protección intelixente.
Fonte: www.habr.com