Бұл мақала Файлсыз зиянды бағдарламалар сериясының бөлігі болып табылады. Серияның барлық басқа бөліктері:
- (Біз осындамыз)
Осы мақалалар сериясында біз хакерлер тарапынан аз күш-жігерді қажет ететін шабуыл әдістерін зерттейміз. Баяғыда Біз кодтың өзін Microsoft Word бағдарламасындағы DDE автоөрісінің пайдалы жүктемесіне енгізуге болатынын қарастырдық. Фишингтік электрондық поштаға тіркелген мұндай құжатты ашу арқылы абайсыз қолданушы шабуылдаушыға оның компьютерінде орын алуына мүмкіндік береді. Дегенмен, 2017 жылдың соңында Microsoft бұл DDE шабуылдары үшін бос орын.
Түзету өшіретін тізілім жазбасын қосады DDE функциялары Word бағдарламасында. Бұл функция әлі де қажет болса, ескі DDE мүмкіндіктерін қосу арқылы бұл опцияны қайтаруға болады.
Дегенмен, түпнұсқалық патч тек Microsoft Word-ты қамтыды. Бұл DDE осалдықтары кодсыз шабуылдарда да пайдаланылуы мүмкін басқа Microsoft Office өнімдерінде бар ма? Иә, әрине. Мысалы, оларды Excel бағдарламасында да табуға болады.
Тірі түн DDE
Мен соңғы рет COM сценарийлерінің сипаттамасына тоқтағаным есімде. Мен оларға осы мақалада кейінірек жетемін деп уәде беремін.
Осы арада Excel нұсқасында DDE-нің тағы бір жаман жағын қарастырайық. Word бағдарламасындағы сияқты, кейбіреулері Excel бағдарламасындағы DDE жасырын мүмкіндіктері кодты көп күш жұмсамай орындауға мүмкіндік береді. Өскен Word қолданушысы ретінде мен өрістермен таныс болдым, бірақ DDE-дегі функциялар туралы мүлде білмедім.
Мен Excel бағдарламасында төменде көрсетілгендей ұяшықтан қабықты шақыра алатынымды білгенде таң қалдым:
Бұл мүмкін екенін білдіңіз бе? Жеке мен емес
Бұл Windows қабықшасын іске қосу мүмкіндігі DDE рұқсаты болып табылады. Сіз басқа да көптеген нәрселер туралы ойлай аласыз
Excel бағдарламасының кірістірілген DDE функцияларын пайдаланып қосылуға болатын қолданбалар.
Сіз мен ойлаған нәрсені ойлап тұрсыз ба?
Біздің ұяшықтағы пәрменге PowerShell сеансын бастауға рұқсат етіңіз, содан кейін сілтеме жүктеп алынады және орындалады - бұл , біз бұрын қолданып келген. Төменде қараңыз:
Excel бағдарламасында қашықтағы кодты жүктеу және іске қосу үшін аздап PowerShell қойыңыз
Бірақ бір тосынсый бар: бұл формула Excel бағдарламасында жұмыс істеуі үшін бұл деректерді ұяшыққа нақты енгізу керек. Хакер бұл DDE пәрменін қашықтан қалай орындай алады? Мәселе мынада, Excel кестесі ашық болғанда, Excel DDE ішіндегі барлық сілтемелерді жаңартуға тырысады. Сенім орталығының параметрлері бұрыннан оны өшіру немесе сыртқы деректер көздеріне сілтемелерді жаңарту кезінде ескерту мүмкіндігіне ие болды.
Тіпті соңғы патчтар болмаса да, DDE ішіндегі сілтемені автоматты түрде жаңартуды өшіруге болады
Microsoft бастапқыда өзі 2017 жылы компаниялар Word және Excel бағдарламаларында DDE осалдықтарының алдын алу үшін автоматты сілтеме жаңартуларын өшіруі керек. 2018 жылдың қаңтарында Microsoft Excel 2007, 2010 және 2013 нұсқаларына арналған патчтарды шығарды, олар DDE әдепкі бойынша өшіреді. Бұл Computerworld патчтың барлық мәліметтерін сипаттайды.
Оқиға журналдары туралы не деуге болады?
Дегенмен, Microsoft MS Word және Excel үшін DDE-ден бас тартты, осылайша DDE функционалдық емес, қате сияқты екенін мойындады. Егер қандай да бір себептермен бұл патчтарды әлі орнатпаған болсаңыз, сілтемелерді автоматты түрде жаңартуды өшіру және пайдаланушыларға құжаттар мен электрондық кестелерді ашқан кезде сілтемелерді жаңартуға шақыратын параметрлерді қосу арқылы DDE шабуылының қаупін азайта аласыз.
Енді миллион долларлық сұрақ: Егер сіз осы шабуылдың құрбаны болсаңыз, Word өрістерінен немесе Excel ұяшықтарынан іске қосылған PowerShell сеанстары журналда көрсетіледі ме?
Сұрақ: DDE арқылы іске қосылған PowerShell сеанстары журналға жазыла ма? Жауап: иә
PowerShell сеанстарын макрос ретінде емес, тікелей Excel ұяшығынан іске қосқан кезде, Windows бұл оқиғаларды тіркейді (жоғарыдан қараңыз). Сонымен қатар, қауіпсіздік тобына PowerShell сеансы, Excel құжаты және электрондық пошта хабары арасындағы барлық нүктелерді қосу және шабуылдың қай жерде басталғанын түсіну оңай болады деп айта алмаймын. Мен бұған қол жетпес зиянды бағдарлама туралы ешқашан аяқталмайтын сериямның соңғы мақаласында қайта ораламын.
Біздің COM қалай?
Алдыңғысында Мен COM сценарийлері тақырыбын қозғадым. Олар өздеріне ыңғайлы. , бұл кодты жіберуге мүмкіндік береді, айталық JScript, жай COM нысаны ретінде. Бірақ содан кейін скрипттерді хакерлер тапты, бұл оларға қажетсіз құралдарды пайдаланбай жәбірленушінің компьютерінде орын алуға мүмкіндік берді. Бұл Дербиконнан қашықтағы скрипттерді дәлел ретінде қабылдайтын regsrv32 және rundll32 сияқты кірістірілген Windows құралдарын көрсетеді және хакерлер өз шабуылдарын зиянды бағдарламаның көмегінсіз жүзеге асырады. Соңғы рет көрсеткенімдей, JScript сценарийін пайдаланып PowerShell пәрмендерін оңай іске қосуға болады.
Біреуі өте ақылды болып шықты COM сценарийін іске қосу жолын тапты в Excel құжаты. Ол ұяшыққа құжаттың немесе суреттің сілтемесін кірістірмек болғанда, оған белгілі бір бума салынғанын анықтады. Және бұл пакет қашықтағы сценарийді енгізу ретінде тыныш қабылдайды (төменде қараңыз).
Бум! COM сценарийлерін пайдаланып қабықты іске қосудың тағы бір жасырын, үнсіз әдісі
Төмен деңгейлі кодты тексеруден кейін зерттеуші оның шын мәнінде не екенін анықтады қате пакеттік бағдарламалық құралда. Ол COM скрипттерін іске қосуға арналмаған, тек файлдарға сілтеме жасауға арналған. Мен бұл осалдық үшін патч бар-жоғын білмеймін. Алдын ала орнатылған Office 2010 бағдарламасы бар Amazon WorkSpaces көмегімен өз зерттеуімде мен нәтижелерді қайталай алдым. Алайда, сәл кейінірек қайталап көргенімде, ол нәтиже бермеді.
Мен сізге көптеген қызықты нәрселерді айттым деп үміттенемін және сонымен бірге хакерлер сіздің компанияңызға сол немесе басқа ұқсас жолмен еніп кетуі мүмкін екенін көрсеттім. Барлық соңғы Microsoft патчтарын орнатқан болсаңыз да, хакерлердің жүйеңізде орын алу үшін әлі де көптеген құралдары бар, мен осы серияны бастаған VBA макростарынан Word немесе Excel бағдарламаларындағы зиянды пайдалы жүктемелерге дейін.
Осы дастандағы соңғы (уәде беремін) мақалада мен ақылды қорғанысты қалай қамтамасыз ету туралы айтатын боламын.
Ақпарат көзі: www.habr.com