Ev gotar beşek ji rêzenivîsa Malware ya pelê ye. Hemû beşên din ên rêzê:
- (em li vir in)
Di vê rêze gotaran de, em rêbazên êrîşê yên ku ji hêla hackeran ve herî kêm hewildan hewce dike vedikolin. Di berê de Me veşartiye ku mimkun e ku hûn kodê bixwe têxin nav barkêşana xweseriya DDE-yê di Microsoft Word de. Bi vekirina belgeyek wusa ya ku bi e-nameyek phishing ve girêdayî ye, bikarhênerek nehişyar dê bihêle ku êrîşkar li ser komputera xwe cîh bigire. Lêbelê, di dawiya 2017 de, Microsoft ev valahî ji bo êrîşên li ser DDE.
Rastkirin têketinek qeydê ya ku neçalak dike zêde dike fonksiyonên DDE di Word de. Heke hûn hîn jî hewceyê vê fonksiyonê ne, wê hingê hûn dikarin vê vebijarkê bi çalakkirina kapasîteyên DDE-ya kevn vegerînin.
Lêbelê, patchê ya orîjînal tenê Microsoft Word vedigire. Ma ev qelsiyên DDE di hilberên din ên Microsoft Office de hene ku dikarin di êrîşên bê-kod de jî werin bikar anîn? Erê, bê guman. Mînakî, hûn dikarin wan di Excel de jî bibînin.
Şeva Zindî DDE
Tê bîra min ku cara paşîn ez li ser danasîna nivîsarên COM rawestiyam. Ez soz didim ku ez ê paşê di vê gotarê de bigihîjim wan.
Di vê navberê de, bila di guhertoya Excel de li aliyekî din ê xirab ê DDE-yê binêrin. Mîna di Word de, hin taybetmendiyên veşartî yên DDE li Excel destûrê dide te ku hûn kodê bêyî hewildanek zêde bicîh bikin. Wekî bikarhênerek Word-ê ku mezin bû, ez bi zeviyan nas bûm, lê qet bi fonksiyonên di DDE-yê de ne.
Ez matmayî mam ku fêr bûm ku di Excel de ez dikarim wekî ku li jêr tê xuyang kirin bangek ji hucreyek bikim:
We dizanibû ku ev gengaz bû? Bi xwe, ez nakim
Ev şiyana destpêkirina şêlek Windows-ê ji hêla DDE ve ye. Hûn dikarin gelek tiştên din bifikirin
Serlêdanên ku hûn dikarin bi karanîna fonksiyonên DDE-yê yên çêkirî yên Excel ve girêbidin.
Ma hûn heman tiştê ku ez difikirim hûn difikirin?
Bila fermana meya nav-hucreyê danişînek PowerShell-ê dest pê bike ku dûv re zencîreyê dakêşîne û bicîh tîne - ev , ku me berê berê bikar anî. Li jêr binêrin:
Tenê PowerShell-ê piçûk bixin da ku koda dûr a Excel-ê barkirin û bimeşînin
Lê girtinek heye: ji bo ku ev formula di Excel de bixebite, divê hûn bi eşkereyî vê daneyê têkevin hucreyê. Çawa hackerek dikare vê fermana DDE-ê ji dûr ve bicîh bîne? Rastî ev e ku dema ku tabloyek Excel vekirî ye, Excel dê hewl bide ku hemî girêdanên di DDE-ê de nûve bike. Mîhengên Navenda pêbaweriyê ji mêj ve xwedan şiyana neçalakkirina vê yekê an jî hişyarkirina dema nûvekirina girêdanên çavkaniyên daneya derveyî ye.
Tewra bêyî paçên herî paşîn, hûn dikarin nûvekirina girêdana otomatîkî ya di DDE-yê de neçalak bikin
Microsoft bi eslê xwe bixwe Pargîdaniyên di 2017-an de divê nûvekirinên girêdana otomatîkî neçalak bikin da ku pêşî li qelsiyên DDE-yê di Word û Excel de bigirin. Di Çileya 2018-an de, Microsoft-ê ji bo Excel 2007, 2010 û 2013-an pêçên ku DDE-ê ji hêla xwerû ve neçalak dikin derxist. Ev Computerworld hemî hûrguliyên patchê vedibêje.
Baş e, çi li ser têketinên bûyerê?
Microsoft dîsa jî dev ji DDE ji bo MS Word û Excel berda, bi vî rengî di dawiyê de nas kir ku DDE ji fonksiyonê bêtir wekî xeletiyek e. Ger ji ber hin sedeman we hîna van pêçan saz nekiribin, hûn dîsa jî dikarin bi neçalakkirina nûvekirinên girêdanê yên otomatîkî û çalakkirina mîhengên ku ji bikarhêneran re dema vekirina belge û pelgeyan vekirina girêdanan nûve bikin, xetera êrişek DDE kêm bikin.
Naha pirsa mîlyon dolarî: Ger hûn mexdûrê vê êrîşê bin, dê danişînên PowerShell yên ku ji zeviyên Word an hucreyên Excel hatine destpêkirin di têketinê de werin xuyang kirin?
Pirs: Ma danişînên PowerShell bi DDE-ê ve têne tomar kirin? Bersiv: belê
Dema ku hûn danişînên PowerShell rasterast ji hucreyek Excel-ê ne wekî makro dimeşînin, Windows dê van bûyeran tomar bike (li jor binêre). Di heman demê de, ez nikarim îdia bikim ku ew ê ji bo tîmê ewlehiyê hêsan be ku dûv re hemî xalan di navbera rûniştina PowerShell, belgeya Excel û peyama e-nameyê de girêbide û fêm bike ku êrîşê li ku dest pê kir. Ez ê di gotara paşîn a di rêzenivîsa xweya bêdawî ya li ser malwareya nezelal de vegerim ser vê.
COM-ya me çawa ye?
Di berê de Min dest da ser mijara nivîsarên COM. Ew bi xwe rehet in. , ku dihêle hûn kodê derbas bikin, bêjin JScript, bi tenê wekî tiştek COM. Lê dûv re skrîptet ji hêla hackeran ve hatin vedîtin, û vê yekê rê da wan ku bêyî karanîna amûrên nehewce li ser komputera mexdûr cîh bigirin. Ev ji Derbycon amûrên Windows-ê yên çêkirî yên wekî regsrv32 û rundll32 destnîşan dike ku nivîsarên ji dûr ve wekî argûman qebûl dikin, û hacker di eslê xwe de bêyî alîkariya malware êrişa xwe pêk tînin. Wekî ku min cara paşîn destnîşan kir, hûn dikarin bi hêsanî fermanên PowerShell-ê bi karanîna skrîptek JScript-ê bimeşînin.
Derket holê ku yek pir jîr e rêyek ji bo meşandina scriptletek COM dît в Belgeya Excel. Wî kifş kir ku gava wî hewl da ku lînka belgeyek an wêneyek têxe hucreyekê, hin pakêtek têxe hundurê wê. Û ev pakêt bi bêdengî skrîptek dûr wekî têketinê qebûl dike (li jêr binêre).
Boom! Rêbazek din a dizî, bêdeng ji bo destpêkirina şêlek bi karanîna tîpên COM
Piştî vekolînek kodek-asta nizm, lêkolîner fêr kir ku ew bi rastî çi ye rûnask di nermalava pakêtê de. Ew ne armanc bû ku nivîsarên COM bimeşîne, lê tenê girêdana pelan. Ez ne bawer im ku jixwe ji bo vê qelsiyê pêçekek heye. Di lêkolîna xwe de ku bi karanîna Amazon WorkSpaces bi Office 2010-a ji berê ve hatî saz kirin, min karî encaman dubare bikim. Lêbelê, gava ku min hinekî paşê dîsa hewl da, ew nexebite.
Ez bi rastî hêvî dikim ku min gelek tiştên balkêş ji we re got û di heman demê de destnîşan kir ku hacker dikarin bi yek an rêyek wusa bikevin pargîdaniya we. Tewra ku hûn hemî paçên Microsoft-ê yên herî dawî saz bikin, hacker hîna jî gelek amûr hene ku di pergala we de cih bigirin, ji makroyên VBA-ya ku min bi wan re dest bi vê rêzê kir heya barkirinên xerab ên di Word an Excel de.
Di gotara paşîn (ez soz didim) di vê sagayê de, ez ê biaxivim ka meriv çawa parastina hişmend peyda dike.
Source: www.habr.com