Ovaj je članak dio serije zlonamjernih programa bez datoteka. Svi ostali dijelovi serije:
- (mi smo ovdje)
U ovoj seriji članaka istražujemo metode napada koje zahtijevaju minimalan napor od strane hakera. U prošlosti Objasnili smo da je moguće umetnuti sam kod u DDE autofield payload u Microsoft Wordu. Otvaranjem takvog dokumenta priloženog uz phishing email, neoprezan korisnik će omogućiti napadaču da se učvrsti na njegovom računalu. Ipak, krajem 2017. Microsoft ovu rupu za napade na DDE.
Popravak dodaje unos u registar koji onemogućuje DDE funkcije u Wordu. Ako i dalje trebate ovu funkcionalnost, možete je vratiti tako da omogućite stare DDE mogućnosti.
Međutim, izvorna zakrpa pokrivala je samo Microsoft Word. Postoje li te DDE ranjivosti u drugim proizvodima Microsoft Officea koje bi se također mogle iskoristiti u napadima bez koda? Da naravno. Na primjer, možete ih pronaći i u Excelu.
Noć živih DDE
Sjećam se da sam zadnji put stao na opisu COM skriptleta. Obećavam da ću do njih doći kasnije u ovom članku.
U međuvremenu, pogledajmo još jednu zlu stranu DDE-a u Excel verziji. Baš kao u Wordu, neki skrivene značajke DDE-a u Excelu omogućuju vam izvršavanje koda bez puno napora. Kao korisnik Worda koji je odrastao, bio sam upoznat s poljima, ali uopće ne s funkcijama u DDE-u.
Bio sam zapanjen kada sam saznao da u Excelu mogu pozvati ljusku iz ćelije kao što je prikazano u nastavku:
Jeste li znali da je to moguće? Osobno, ne
Ova mogućnost pokretanja Windows ljuske je zahvaljujući DDE-u. Možete misliti na mnoge druge stvari
Aplikacije s kojima se možete povezati pomoću ugrađenih DDE funkcija programa Excel.
Misliš li isto što i ja?
Neka naša naredba u ćeliji pokrene PowerShell sesiju koja zatim preuzima i izvršava vezu - ovo , koje smo već ranije koristili. Pogledaj ispod:
Samo zalijepite mali PowerShell za učitavanje i pokretanje udaljenog koda u Excelu
Ali postoji caka: ove podatke morate izričito unijeti u ćeliju da bi ova formula radila u Excelu. Kako haker može daljinski izvršiti ovu DDE naredbu? Činjenica je da kada je Excel tablica otvorena, Excel će pokušati ažurirati sve veze u DDE. Postavke centra za pouzdanost već dugo imaju mogućnost onemogućiti ovo ili upozoriti prilikom ažuriranja poveznica na vanjske izvore podataka.
Čak i bez najnovijih zakrpa, možete onemogućiti automatsko ažuriranje veze u DDE-u
Microsoft izvorno sam Tvrtke bi u 2017. trebale onemogućiti automatsko ažuriranje veza kako bi spriječile DDE ranjivosti u Wordu i Excelu. U siječnju 2018. Microsoft je objavio zakrpe za Excel 2007, 2010 i 2013 koje onemogućuju DDE prema zadanim postavkama. Ovaj Computerworld opisuje sve detalje zakrpe.
Pa, što je sa zapisnicima događaja?
Microsoft je ipak napustio DDE za MS Word i Excel, čime je konačno shvatio da je DDE više poput buga nego funkcionalnosti. Ako iz nekog razloga još niste instalirali ove zakrpe, još uvijek možete smanjiti rizik od DDE napada tako da onemogućite automatska ažuriranja veza i omogućite postavke koje od korisnika traže da ažuriraju veze prilikom otvaranja dokumenata i proračunskih tablica.
Sada pitanje za milijun dolara: ako ste žrtva ovog napada, hoće li se PowerShell sesije pokrenute iz Word polja ili Excel ćelija pojaviti u zapisniku?
Pitanje: Zapisuju li se PowerShell sesije pokrenute putem DDE-a? Odgovor: da
Kada pokrećete PowerShell sesije izravno iz ćelije programa Excel, a ne kao makro, Windows će zabilježiti ove događaje (pogledajte gore). Istodobno, ne mogu tvrditi da će sigurnosnom timu biti lako povezati sve točkice između PowerShell sesije, Excel dokumenta i poruke e-pošte i shvatiti gdje je napad započeo. Vratit ću se na ovo u zadnjem članku u svojoj beskrajnoj seriji o nedostižnom zlonamjernom softveru.
Kakav je naš COM?
U prethodnom Dotaknuo sam se teme COM skriptleta. Oni su zgodni sami po sebi. , koji vam omogućuje prosljeđivanje koda, recimo JScript, jednostavno kao COM objekt. Ali onda su hakeri otkrili skripte i to im je omogućilo da steknu uporište na žrtvinom računalu bez upotrebe nepotrebnih alata. Ovaj iz Derbycona demonstrira ugrađene Windows alate kao što su regsrv32 i rundll32 koji prihvaćaju udaljene skriptlete kao argumente, a hakeri u biti izvode svoj napad bez pomoći zlonamjernog softvera. Kao što sam pokazao prošli put, možete lako pokrenuti PowerShell naredbe pomoću JScript skriptleta.
Pokazalo se da je jedan vrlo pametan pronašao način za pokretanje COM skriptleta в Excel dokument. Otkrio je da kada je pokušao ubaciti poveznicu na dokument ili sliku u ćeliju, u nju je ubačen određeni paket. I ovaj paket tiho prihvaća udaljenu skriptu kao ulaz (vidi dolje).
Boom! Još jedna skrivena, tiha metoda za pokretanje ljuske pomoću COM skriptleta
Nakon pregleda koda niske razine, istraživač je otkrio što je to zapravo buba u softverskom paketu. Nije bio namijenjen za pokretanje COM skriptleta, već samo za povezivanje s datotekama. Nisam siguran postoji li već zakrpa za ovu ranjivost. U svojoj studiji koristeći Amazon WorkSpaces s predinstaliranim Officeom 2010, uspio sam ponoviti rezultate. Međutim, kad sam malo kasnije pokušao ponovno, nije išlo.
Iskreno se nadam da sam vam rekao puno zanimljivih stvari i ujedno pokazao da hakeri mogu prodrijeti u vašu tvrtku na ovaj ili onaj sličan način. Čak i ako instalirate sve najnovije Microsoftove zakrpe, hakeri još uvijek imaju mnogo alata za uporište u vašem sustavu, od VBA makronaredbi s kojima sam započeo ovu seriju do zlonamjernih sadržaja u Wordu ili Excelu.
U posljednjem (obećavam) članku u ovoj sagi, govorit ću o tome kako pružiti pametnu zaštitu.
Izvor: www.habr.com