Atik sa a fè pati seri malveyan Fileless. Tout lòt pati nan seri a:
- Adventures of the Elusive Malware, Part IV: DDE and Word Document Fields (nou isit la)
Nan atik sa a, mwen te pral plonje nan yon senaryo atak ki san dosye milti-etap menm pi konplèks ak pinning sou sistèm nan. Men, Lè sa a, mwen te rankontre yon atak ekstrèmman senp, san kòd-pa gen okenn makro Word oswa Excel obligatwa! Ak sa a pwouve pi efikasman ipotèz orijinal mwen ki kache nan seri atik sa a: kraze perimèt ekstèn nenpòt òganizasyon se pa yon travay difisil ditou.
Premye atak mwen pral dekri eksplwate yon vilnerabilite Microsoft Word ki baze sou demode (DDE). Li te deja . Dezyèm lan eksplwate yon vilnerabilite pi jeneral nan Microsoft COM ak kapasite transfè objè.
Retounen nan tan kap vini an ak DDE
Nenpòt lòt moun sonje DDE? Pwobableman pa anpil. Se te youn nan premye yo pwotokòl kominikasyon entè-pwosesis ki pèmèt aplikasyon yo ak aparèy yo transfere done yo.
Mwen menm mwen yon ti kras abitye ak li paske mwen te konn tcheke ak teste ekipman telecom. Nan tan sa a, DDE te pèmèt, pou egzanp, operatè sant apèl yo transfere ID moun kap rele nan yon aplikasyon CRM, ki finalman louvri yon kat kliyan. Pou fè sa, ou te oblije konekte yon kab RS-232 ant telefòn ou ak òdinatè w lan. Se te jou sa yo!
Kòm li vire soti, Microsoft Word se toujou DDE.
Ki sa ki fè atak sa a efikas san kòd se ke ou ka jwenn aksè nan pwotokòl la DDE dirèkteman soti nan jaden otomatik nan yon dokiman Word (chapo ba nan SensePost pou sou li).
Kòd jaden se yon lòt ansyen karakteristik MS Word ki pèmèt ou ajoute tèks dinamik ak yon ti pwogram nan dokiman ou an. Egzanp ki pi evidan se jaden nimewo paj la, ki ka mete nan pye a lè l sèvi avèk valè {PAGE *MERGEFORMAT}. Sa a pèmèt nimewo paj yo dwe pwodwi otomatikman.
Sijesyon: Ou ka jwenn atik meni jaden an anba Mete.
Mwen sonje ke lè mwen te dekouvri karakteristik sa a nan Word, mwen te sezi. Epi jiskaske patch la enfim li, Pawòl toujou sipòte opsyon DDE jaden yo. Lide a te ke DDE ta pèmèt Word kominike dirèkteman ak aplikasyon an, pou li te kapab Lè sa a, pase pwodiksyon pwogram nan nan yon dokiman. Se te yon teknoloji trè jèn nan tan sa a - sipò pou echanj done ak aplikasyon ekstèn. Li te devlope pita nan teknoloji COM, ki nou pral gade tou anba a.
Evantyèlman, entru yo reyalize ke aplikasyon DDE sa a ta ka yon kokiy lòd, ki nan kou te lanse PowerShell, ak soti nan entru yo te kapab fè tou sa yo vle.
Ekran ki anba a montre kijan mwen itilize teknik enfiltrasyon sa a: yon ti script PowerShell (ki rele PS) ki soti nan jaden DDE chaje yon lòt script PS, ki lanse dezyèm faz atak la.
Mèsi a Windows pou avètisman pop-up ke jaden an DDEAUTO bati an kachèt ap eseye kòmanse koki a.
Metòd pi pito pou eksplwate vilnerabilite a se sèvi ak yon variant ak jaden DDEAUTO, ki otomatikman kouri script la. lè ouvè Dokiman Word.
Ann reflechi sou sa nou ka fè sou sa.
Kòm yon pirat inisyasyon, ou ka, pou egzanp, voye yon imèl èskrokri, pretann ke ou soti nan Sèvis Federal Taks la, epi entegre jaden an DDEAUTO ak script PS la pou premye etap la (yon gout, esansyèlman). Epi ou pa menm bezwen fè okenn kodaj reyèl nan makro, elatriye, tankou mwen te fè nan
Viktim nan ouvri dokiman ou a, se script entegre a aktive, ak pirate a fini andedan òdinatè a. Nan ka mwen an, script la PS aleka jis enprime yon mesaj, men li ta ka menm fasil lanse kliyan an PS Empire, ki pral bay aksè nan koki aleka.
Epi anvan viktim nan gen tan di anyen, entru yo pral tounen adolesan ki pi rich nan vilaj la.
Koki a te lanse san yo pa ti kras nan kodaj. Menm yon timoun ka fè li!
DDE ak jaden
Microsoft pita te enfim DDE nan Word, men se pa anvan konpayi an te deklare ke karakteristik nan te tou senpleman mal itilize. Repiyans yo chanje anyen se konprann. Nan eksperyans mwen, mwen menm mwen te wè yon egzanp kote mete ajou jaden yo lè w ap louvri yon dokiman te pèmèt, men makro Word yo te enfim pa IT (men ki montre yon notifikasyon). By wout la, ou ka jwenn paramèt korespondan yo nan seksyon an Paramèt Pawòl.
Sepandan, menm si aktyalizasyon jaden an pèmèt, Microsoft Word anplis avèti itilizatè a lè yon jaden mande aksè nan done efase, tankou se ka a ak DDE pi wo a. Microsoft vrèman avèti ou.
Men, gen plis chans, itilizatè yo ap toujou inyore avètisman sa a epi aktive aktyalizasyon jaden yo nan Pawòl. Sa a se youn nan opòtinite ki ra yo remèsye Microsoft pou enfim karakteristik DDE danjere.
Ki jan li difisil pou jwenn yon sistèm Windows san patch jodi a?
Pou tès sa a, mwen te itilize AWS Workspaces pou jwenn aksè nan yon Desktop vityèl. Nan fason sa a mwen te resevwa yon machin vityèl MS Office ki pa patche ki pèmèt mwen mete jaden DDEAUTO a. Mwen pa gen okenn dout ke nan yon fason menm jan an ou ka jwenn lòt konpayi ki poko enstale plak sekirite ki nesesè yo.
Mistè nan objè yo
Menm si ou te enstale patch sa a, gen lòt twou sekirite nan MS Office ki pèmèt entru fè yon bagay ki sanble anpil ak sa nou te fè ak Word. Nan pwochen senaryo a nou pral aprann sèvi ak Excel kòm Garnier pou yon atak èskrokri san yo pa ekri okenn kòd.
Pou w konprann senaryo sa a, ann sonje Microsoft Component Object Model, oswa pou kout COM (Konpozan Objè Modèl).
COM te alantou depi ane 1990 yo, epi li defini kòm yon "lang-net, modèl eleman oryante objè" ki baze sou apèl RPC pwosedi aleka. Pou yon konpreyansyon jeneral sou tèminoloji COM, li sou StackOverflow.
Fondamantalman, ou ka panse a yon aplikasyon COM kòm yon Excel oswa Word ègzèkutabl, oswa kèk lòt dosye binè ki kouri.
Li sanble ke yon aplikasyon COM ka kouri tou senaryo — JavaScript oswa VBScript. Teknikman li rele scriptlet. Ou ka wè ekstansyon .sct pou fichye nan Windows - sa a se ekstansyon ofisyèl pou scriptlets. Esansyèlman, yo se kòd script ki vlope nan yon anbalaj XML:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
Hackers ak pentester yo te dekouvri ke gen sèvis piblik separe ak aplikasyon nan Windows ki aksepte objè COM ak, kòmsadwa, scriptlets tou.
Mwen ka pase yon scriptlet nan yon sèvis piblik Windows ekri nan VBS ke yo rekonèt kòm pubprn. Li sitiye nan pwofondè C:Windowssystem32Printing_Admin_Scripts. By wout la, gen lòt sèvis piblik Windows ki aksepte objè kòm paramèt. Ann gade egzanp sa a an premye.
Li se byen natirèl ke koki a ka lanse menm nan yon script enprime. Ale Microsoft!
Kòm yon tès, mwen te kreye yon senp scriptlet aleka ki lanse yon koki ak enprime yon mesaj komik, "Ou te jis te script!" Esansyèlman, pubprn enstansye yon objè scriptlet, sa ki pèmèt kòd VBScript kouri yon anbalaj. Metòd sa a bay yon avantaj klè pou entru ki vle fofile ak kache sou sistèm ou an.
Nan pwochen pòs la, mwen pral eksplike kijan scriptlets COM yo ka eksplwate pa entru lè l sèvi avèk fèy Excel.
Pou devwa ou, gade soti nan Derbycon 2016, ki eksplike egzakteman ki jan entru itilize scriptlets. Epi tou li sou scriptlets ak kèk kalite moniker.
Sous: www.habr.com